Falhas críticas no framework Tassos para Joomla permitem RCE e takeover
Extensões populares do Joomla baseadas no framework Novarain/Tassos contêm vulnerabilidades críticas que permitem leitura e exclusão de arquivos sem autenticação, injeção SQL e, em última instância, execução remota de código (RCE) e tomada completa do site. As falhas afetam componentes amplamente usados como Convert Forms, EngageBox e Google Structured Data.
Descoberta e escopo
Uma revisão de código-fonte do plugin do framework (plg_system_nrframework) revelou três primitivas de ataque expostas através de um manipulador AJAX que processa a ação `task=include` sem o devido endurecimento. Ao abusar deste ponto de entrada, um atacante pode invocar classes PHP sob a raiz do site Joomla que implementam um método `onAjax`, efetivamente transformando classes auxiliares internas em "gadgets" remotamente acessíveis.
Vetor e exploração
Dentro desses gadgets, uma classe manipula incorretamente o carregamento de CSV, podendo ser coagida a ler arquivos arbitrários acessíveis ao usuário do servidor web. Outra classe expõe uma ação de remoção que exclui caminhos fornecidos pelo atacante sem validação adicional. Uma terceira classe, usada para preenchimento dinâmico de campos, passa parâmetros controlados pelo atacante para consultas de banco de dados, criando uma primitiva de injeção SQL capaz de ler tabelas e colunas arbitrárias sob a conta do banco de dados do Joomla.
Impacto e alcance
A cadeia dessas capacidades permite que um atacante externo roube dados de sessão de administrador do banco de dados, faça pivô para o backend e, em seguida, implante uma extensão maliciosa ou modifique templates para obter RCE persistente. O vetor de ataque depende apenas de requisições AJAX não autenticadas, tornando medidas comuns de proteção, como restrição de acesso à função de admin, insuficientes. A adição de segredos no nível do plugin também não impede o comprometimento uma vez que o atacante pode ler/excluir arquivos e consultar o banco de dados.
Componentes afetados e mitigação
O framework vulnerável é empacotado em várias extensões do Joomla. As versões afetadas incluem:
- Novarain/Tassos Framework (plg_system_nrframework): v4.10.14 – v6.0.37
- Convert Forms: v3.2.12 – v5.1.0
- EngageBox: v6.0.0 – v7.1.0
- Google Structured Data: v5.1.7 – v6.1.0
- Advanced Custom Fields: v2.2.0 – v3.1.0
- Smile Pack: v1.0.0 – v2.1.0
A fabricante já disponibilizou versões corrigidas do Tassos Framework e das extensões afetadas. Administradores devem atualizar imediatamente todos os componentes Tassos ou desativar temporariamente o plugin `plg_system_nrframework` e extensões relacionadas em sites expostos até a aplicação do patch. Como medida de defesa em profundidade, operadores devem restringir ou filtrar o tráfego `com_ajax` no servidor web ou WAF.