В популярном наборе расширений для CMS Joomla обнаружена критическая уязвимость, затрагивающая Tassos Framework. Проблема скрывалась в AJAX-обработчике и, судя по описанию, вела себя как дверь без замка: при желании её можно было открыть без стука.
Речь идёт о фреймворке, который используется как основа для ряда популярных расширений. Среди них — Convert Forms, EngageBox, Advanced Custom Fields, Google Structured Data и другие. Проще говоря, если сайт на Joomla активно «обвешан» функциональностью от Tassos, то новость касается его напрямую.
Что пошло не так
Уязвимость позволяет злоумышленникам выполнять действия без авторизации и загружать произвольные файлы на сервер. В практическом смысле это означает возможность внедрения вредоносного кода и дальнейшего контроля над сайтом — от незаметных правок до полной смены содержимого.
Проблема выглядит особенно неприятно из-за своей универсальности: Tassos Framework выступает общей базой для нескольких расширений, а значит, потенциальная зона риска расширяется вместе со списком установленных плагинов.
Чем это грозит владельцам сайтов
Для владельцев сайтов на Joomla ситуация сводится к классическому сценарию: если уязвимость используется, сервер может получить «гостей», которые не склонны оставлять визитки. Загрузка вредоносных файлов открывает путь к установке бэкдоров, изменению контента и компрометации пользовательских данных.
Отдельный риск связан с тем, что вредоносные скрипты могут маскироваться под обычные файлы в каталогах вроде images, tmp или uploads. В таких случаях сайт продолжает работать, но уже не совсем в интересах владельца.
Разработчики уже сообщили о выпуске обновлений, устраняющих проблему. Также подчёркивается, что любые признаки активности от имени уязвимого компонента без соответствующих действий администратора могут указывать на попытку эксплуатации. В переводе на менее официальный язык: если сайт начал «жить своей жизнью», это редко бывает хорошей новостью.
В подобных ситуациях обычно вспоминают о резервных копиях, проверке доступа и аудитах системы. Но, как показывает практика, такие меры чаще всего кажутся очевидными уже после того, как они понадобились.