(Por El Microsaurio) Sí, ya sé, el desarrollo de Mambo cesó en junio de 2008, a juzgar por la güiquipedia. Pero este CMS del cual (recordemos) Joomla nació como un fork en el 2005, es un producto que muchos cabezaduras siguen empleando. Y cuando un hacker se pone de mal humor y publica código de ataque, la cosa se pone fea, tirando a peor. Arrimá el mate que te cuento.
Todo comenzó cuando en un foro de Mambo leí este mensaje: “Is Mambo Development still alive? Nobody attends to my bug reports” El autor del post era cierto investigador oriental. Le contestó la administradora del foro, la amable programadora neocelandesa Lynne Pope: “I see they are being attended now…”
Alguien que encontró una vulnerabilidad en un programa quiere avisar, no le hacen caso y se molesta. Historia conocida.
El problema es que este cruce de mensajes es de noviembre de 2010.
Y que el oriental se pudrió de que le dijeran “estamos estudiando su informe”, o que directamente ni le contestaran, y publicó ayer un prolijo comentario, detallando cómo entrar en la base de datos que trabaja por detrás de cualquier website que corra sobre Mambo, y llevarse la información que se le dé la gana. A través de la página del administrador, nada menos.
No daré más detalles porque con lo que escribí ahí y el gúgle, basta. Y si a alguno le llama la atención que comente una vulnerabilidad en algo que ha pasado (parece) de software a abandonware, es por la cantidad de websites que lo emplean en la actualidad.
Bueno, si alguien tiene cargados sus contenidos en una web que use Mambo 4.6.5 o anterior, lo lamento. Que se lleven todo sólo será cuestión de un pequeño esfuerzo.
No digan que no avisé.