Joomla componente Medi-QnA “controller” File Inclusion Vulnerability

Una vulnerabilità, che potrebbe essere sfruttata da un malintenzionato per divulgare informazioni potenzialmente sensibili,  è stata riportata nel componente Medi-QnA per Joomla.

L’input passato al parametro “controller” in index.php (quando “option” è impostato su “com_mediqna”) non è adeguatamente verificato prima di essere utilizzato per includere i file. Ciò può essere sfruttato per includere file arbitrari dalle risorse locali per mezzo di “directory traversal attacks” e “URL-encoded NULL bytes”.

La vulnerabilità è stata riscontrata nella versione 1.1.  Ma anche altre versioni potrebbero essere affette dal problema.

Livello di criticità:

Soluzione: Aggiornare alla versione 1.2.