Dúvida de iniciante

Locked
damyhonn
Joomla! Fledgling
Joomla! Fledgling
Posts: 2
Joined: Wed May 13, 2009 12:26 pm

Dúvida de iniciante

Post by damyhonn » Fri Dec 25, 2009 6:32 am

Sou de certa forma iniciante em joomla e estou com uma dúvida esses dias q tá me tirando o sono. Fiz meu primeiro site pra um cliente e percebi que o filho do cara (metido a sabidão) consegue criar usuários 'super administrator' sempre que quer. Já alterei a senha de meu usuário admin e não creio que seja problema de senha fraca. Também estou analisando pra ver se pode ser alguma extensão com vulnerabilidade, o que também não acredito muito que seja, já que instalei poucas delas e bastante conhecidas.
Acontece que o cliente tem a senha de administração do host, mas não a senha do joomla. E é bem provável que o filho dele tenha essa senha do host tbm.
Minha dúvida é: existe possibilidade dele criar usuários super admin do joomla apenas sabendo a senha de gerenciamento do site no host? Ou cai no problema de vulnerabilidades das extensões mesmo?
Agradeço muito qualquer ajuda.
[]'s e feliz 2010.


ps.: a versão q uso do joomla é a 1.5.10

User avatar
fititnt
Joomla! Hero
Joomla! Hero
Posts: 2350
Joined: Sat Jul 15, 2006 1:41 am
Location: Porto Alegre - RS - Brazil
Contact:

Re: Dúvida de iniciante

Post by fititnt » Sat Jan 02, 2010 4:07 pm

Em primeiro lugar, troque imediatamente a versão do joomla. Faça upgrade para versão mais recente (no momento 1.5.15) , sua versão tem problemas de segurança.

Quanto a criar usuários superadmin, é simples via phpmyadmin. É so mudar um campo no banco de dados aonde diz o tipo de usuário, ou mesmo criar um usuário novo apenas alterando por lá.

Se o usuário usar um criador de senha tipo o que tenho em http://www.fititnt.org/recuperar-senha-joomla.html ele nem precisa recuperar senha via email.

E não, isso não é um problema de segurança, deveria sim ser possivel fazer tal coisa se alguém tem a senha de acesso ao banco de dados.
Emerson da Rocha Luiz
Moderador aposentado, 2008-2014 | Membro do JUGRS
http://www.fititnt.org


Locked

Return to “Segurança”