Omid a découvert une vulnérabilité dans le mambo et le Joomla, qui peuvent être exploités par les utilisateurs malveillants pour conduire des attaques d'injection de SQL.

L'entrée a passé au paramètre de « identification » en éditant le contenu n'est pas correctement aseptisée avant d'être employée dans une question de SQL. Ceci peut être exploité pour manoeuvrer des questions de SQL en injectant le code arbitraire de SQL.

L'exploitation réussie exige des privilèges de « rédacteur ».

Quelques issues d'injection de SQL ont été également rapportées dans la section d'administration.

La vulnérabilité a été confirmée dans la version 4.5.4 de mambo et également rapportée dans la version 4.6 RC2. On l'a confirmé dans la version 1.0.10 de Joomla. D'autres versions peuvent également être affectées. par l'intermédiaire de Secunia

Solution simple :
Grant a seulement fait confiance à des privilèges de « rédacteur » d'utilisateurs.