Backend korisnik koji se loguje na portal može ubaciti XSS inekciju u različite administratorske stranice. Ova greška je otklonjena u verziji J!1.5.21, kako su na obavjestili iz Joomla SST-a, ali problem još uvijek postoji.

Opasnost: Srednja
Verzije: 1.5.21 i sve prethodne 1.5 verzije
Tip ranjivosti: SQL inekcija

O čemu se radi saznajte u nastavku teksta ...

Sigurnosni portal www.SecurityFocus.com koji je prijavio XSS propust kao i SQL inekciju vezanu za ovaj propust je izvršio i naknadno testiranje J!1.5.21 i oni tvrde (a to su potkrijepili dokazima) da je mogućnost SQL inekcije još uvijek moguća. Iz Joomla SST-a tvrde da ovu inekciju nije moguće potpuno iskoristit za Joomla portale pa je to bio razlog zašto ova opasnost nije uklonjena.

Ko ne vjeruje neka provjeri:

http://yehg.net/lab/pr0js/advisories/joomla/core/1.5.21/sql_injection/sqli_(filter_order)_front.jpg
http://yehg.net/lab/pr0js/advisories/joomla/core/1.5.21/sql_injection/sqli_%28filter_order_Dir%29_front.jpg
http://yehg.net/lab/pr0js/advisories/joomla/core/1.5.21/sql_injection/sqli_%28filter_order_Dir%29_back.jpg

Izvor: http://www.securityfocus.com/archive/1/514586