Aggiornato il: 28-04-2021 22:33
àˆ noto da tempo, e continua a fare notizia (fonte) che moltissimi siti con estensione .it utilizzino Joomla! ed in particolare una componente per il caricamento di file esterni, denominata jDownloads e certamente molto diffusa nell’ambiente.
Il problema di fondo di questa componente, arrivata alla versione 3.2.37 al momento in cui scrivo, non sembra legata ad una falla grave vera e propria (anche se in molti casi viene lasciata online una versione vecchia), bensଠad un’impostazione troppo permissiva su un path specifico del componente (che contiene di norma la stringa com_jdownloads), ovvero quello relativo all’upload dei file. Un problema di entità non gravissima, di fatto, ma comunque inaccettabile per un qualsiasi sito istituzionale o aziendale. Il riferimento al problema è noto fin da agosto ed è disponibile a questo link ufficiale (in inglese), con tanto di indicazioni sulla versione da usare in base alla release di Joomla! che si sta usando.
Se si lascia questo parametro impostato in modo troppo permissivo, infatti, chiunque (anche un anonimo che arriva sul sito via Google) può caricare sul server qualsiasi tipo di file, e questo senza alcuna notifica all’amministratore. Si consiglia quindi di controllare il contenuto della cartella images/jdownloads/screenshots/ a partire dalla root del sito, e verificare che non ci siano file indesiderati al suo interno.
L’ultima versione di jDownloads, infine, è disponibile all’indirizzo ufficiale: http://www.jdownloads.com/index.php/downloads.html. Non basta aggiornare all’ultima versione (che migliora comunque un aspetto specifico dell’upload), ma è indispensabile anche assicurarsi che solo gli utenti registrati al sito possano caricare file sul server.
Photo by cocoate.com
Ingegnere per passione, consulente per necessità, docente di informatica; ho creato Trovalost.it e ho scritto quasi tutti i suoi contenuti. Ogni guida viene revisionata e aggiornata periodicamente. Per contatti clicca qui
