湖北快3

EN
您当前的位置: 湖北快3 - 网络安全 - 通告和预警 - 正文

关于Joomla!内容管理系统漏洞情况的通报

时间:2016-12-14 阅读: 我要纠错

近日,国家信息安全漏洞库(CNNVD)收到关于Joomla!内容管理系统存在安全绕过漏洞(CNNVD-201610-739)及远程提权漏洞(CNNVD-201610-740)的情况报送。

1025日,Joomla!官方对上述漏洞已发布升级公告。由于上述漏洞影响范围广,危害级别高,国家信息安全漏洞库(CNNVD)对此进行了跟踪分析,情况如下:

一、漏洞简介

Joomla!是美国Open Source Matters团队使用PHPMySQL开发的一套开源的、跨平台的内容管理系统(CMS)

Joomla! 3.4.43.6.3版本的内核组件中的components/com_users/controllers/user.php文件中的‘UsersControllerUser::register()’函数存在安全绕过漏洞(漏洞编号:CNNVD-201610-739CVE-2016-8870),该漏洞源于注册函数没有判断网站是否关闭注册。攻击者可利用该漏洞绕过安全限制,注册新用户。

Joomla! 3.4.43.6.3版本的内核组件中的components/com_users/controllers/user.php文件中的‘UsersControllerUser::register()’函数中存在远程提权漏洞(漏洞编号:CNNVD-201610-740CVE-2016-8869),该漏洞源于注册函数未对注册的字段进行过滤。攻击者可通过构造恶意数据利用该漏洞提升权限。

二、漏洞危害

湖北快3yuanchenggongjizhekeliyonghanyoushangshuloudongdezhucehanshujinxingyonghuzhuce,binggouzaoeyishujushigaiyonghuquanxiantishengzhiguanliyuanquanxian,congerduifuwuqishangchuanmumadengeyichengxu,jinyibukongzhifuwuqi。 

湖北快3jutongji,muqian,quanqiuxianyoujiangjin86wanwangzhanshiyonglejoomla!xitong,cunzailoudongdewangzhanshuliangwei15296ge,gongfugaile100geguojiaheshubaigechengshi,qizhongpaizaiqianwudeguojiafenbieweimeiguo,deguo,helan,eluosiyijifaguo。 


 


 

woguoshouyingxiangwangzhanyueyou146ge,zhuyaoweiyuhangzhou(53%)、kunming(14%)、beijing(7%)dengchengshi,yizhengfu、gaoxiaodengxingyewangzhanweizhu。 


 


 

三、修复措施

1、目前,Joomla!官方已发布升级公告,受影响的用户可通过升级至3.6.4版本以消除漏洞影响。公告链接:

2、针对定制化或对系统有改动的用户,可以通过手动删除冗余的注册函数的方式来修复,即删除网站路径components\com_users\controllers\user.php文件中的register方法。

湖北快3benbaogaoyoucnnvdjishuzhichengdanwei—beijingbaimaohuikejiyouxiangongsitigongzhichi。  

湖北快3cnnvdjiangjixugenzongshangshuloudongdexiangguanqingkuang,jishifabuxiangguanxinxi。ruyouxuyao,keyucnnvdlianxi。 

湖北快3lianxifangshi: cnnvd@itsec.gov.cn 

*转载来自FreeBuf.COM