Omid has discovered a vulnerability in Mambo & Joomla, which can be exploited by malicious users to conduct SQL injection attacks. Omid ha scoperto una vulnerabilità in Mambo & Joomla, che possono essere sfruttate da utenti malintenzionati per condurre attacchi SQL injection.

Input passed to the “id” parameter when editing content isn’t properly sanitised before being used in a SQL query. Input passati al "id" parametro in caso di modifica dei contenuti non è correttamente disinfettati prima di essere utilizzati in una query SQL. This can be exploited to manipulate SQL queries by injecting arbitrary SQL code. Questo fenomeno può essere sfruttato per manipolare le query SQL iniettando codice SQL arbitrario.

Successful exploitation requires “Editor” privileges. Sfruttamento di successo richiede "Editor" privilegi.

Some SQL injection issues have also been reported in the administration section. SQL injection alcuni problemi sono stati riportati anche nella sezione di amministrazione.

The vulnerability has been confirmed in Mambo version 4.5.4 and has also been reported in version 4.6 RC2. La vulnerabilità è stata confermata in Mambo versione 4.5.4 e è stata riportata anche in versione 4,6 RC2. It has been confirmed in Joomla version 1.0.10. E 'stato confermato in Joomla versione 1.0.10. Other versions may also be affected. Altre versioni possono anche essere colpiti. via Secunia

Simple Solution: Soluzione semplice:
Grant only trusted users “Editor” privileges. Concedere solo agli utenti fidati "Editor" privilegi.