Het Nationaal Cyber Security Centrum (NCSC ) heeft op 9 januari 2013 een waarschuwing afgegeven voor een kwetsbaarheid in Joomla. Het gaat om een gat in een oudere versie van de plugin JCE voor het open source cms Joomla. Daarmee zijn defacements (inbraken op de site) uit te voeren. Deze plugin is niet standaard in Joomla aanwezig, maar zoals velen extensies, kan deze worden geïnstalleerd via het extensiebeheer van Joomla.

Joomla editor

Joomla beschikt standaard al over een editor, tinyMCE. Voor veel sites is dit ruim voldoende om teksten in het beheer goed te kunnen bewerken. Joomla geeft de mogelijkheid om ook andere editors te installeren en gebruiken, JCE is daar een van.

Het lek dat op 9 januari is gemeld was overigens al langere tijd geleden door de ontwikkelaars van deze plugin gesignaleerd en ook verholpen. Sites die up to date zijn gehouden zijn dus ook niet gevoelig.

Defacements

Het inbreken op Joomla-installaties via de Joomla Content Editor (JCE) geeft kwaadwillenden in versies tot en met 2.0.11 de mogelijkheid om eigen content naar een website te uploaden. Het NCSC waarschuwt dat hierdoor "defacements tot de mogelijkheden behoren". Op internet is exploitcode beschikbaar om deze kwetsbaarheid uit te buiten, aldus de waarschuwing van het cybersecuritycentrum van het ministerie voor Veiligheid en Justitie.

Joomla versies

Zoals wij vermeldden in een eerder artikel “Updates voor Joomla” moet iedere software producent van naam, dus ook Joomla, zich bezighouden met beveiliging. Dat wordt dan ook gedaan, maar in tegenstelling tot bijvoorbeeld firewalls, spamfilters of Windows patches, worden CMS systemen vaker niet dat wel ge-update. Eindgebruikers lijken een CMS als minder risicovol te beschouwen dan andere software systemen. En dit terwijl het ook gewoon een software pakket is. Dit niet op de laatste plaats omdat voor hen onduidelijk is dat er updates nodig zijn en wie hier precies verantwoordelijk voor is.

Wilt u hier meer over weten, dan kunt u natuurlijk altijd bij ons terecht.