Et af de mest benyttede open source CMS-værktøjer, Joomla, har en kritisk sårbarhed i version 1.5.0 til 1.5.5. Den giver mulighed for at ændre administrator-kodeordet fra en almindelig browser med en enkelt målrettet adresse og en speciel indtastning, hvilket tager mindre end to minutter. Det fortæller sikkerhedsfirmaet Comendo.
En søgning på Google viser at flere hundrede danske websteder bruger den sårbare version af Joomla. Sikkerhedshullet kan lukkes ved at installere den seneste version 1.5.6.
Ved at skaffe sig administrator-adgang gennem Joomla kan en angriber plante vilkårlig kode på et websted, udskifte indholdet og f.eks. bruge det til at sprede malware.
Joomla er så populært, at der har udviklet sig en hel industri af uafhængige udviklere, der tilbyder programkomponenter til systemet. Det er alt fra administrationsmoduler, styring af nyhedsbreve og regnskabsstyring til grafer og spil.
I mange tilfælde er det komponenterne - og ikke Joomba selv - der kan være sårbare. Men denne gang er der altså fundet et sikkerhedshul i selve Joomba.
