快捷导航
切换风格

默认青色 咖啡色 淡黄 紫色 红色 灰蓝 淡绿 蓝色 黄色

详情

Joomla 3.0.0-3.4.6远程代码施止漏洞预警

小土豆703 Lv.1

6 天前 | 只看作者
漏洞背景

意年夜利宁静公司 Hacktive Security的钻研员 Alessandro Groppo正在Joomla 内容办理体系上收明已公然的PHP工具注进(从3.0.0版宣布到3.4.6版),从而招致了远程代码施止。
Joomla内容办理体系即JoomlaCMS(Content Management System, CMS)。它是网站的一个根底办理仄台。险些开适从小我私人网站到各种企业网站、分类疑息体系、电商销卖范例的各种网站。

漏洞详情

Joomla 会话以 PHP Objects 的情势存储正在数据库中,而且由 PHP 会话函数处理。但是已认证用户的会话也能够停止存储,果此进犯者经过历程仔细机闭的乞请包,经过历程PHP工具注进,能够招致已认证的远程代码施止。
经过四叶草宁静应慢吸应团队确认,此漏洞真正在存正在。

Joomla 3.0.0-3.4.6远程代码施止漏洞预警-1.jpg

经过历程远程代码施止胜利写进文件

影响范围

受影响版本: Joomla 3.0.0 - 3.4.6版本

漏洞风险

下危

自查计划

举荐利用四叶草宁静感洞系列产物停止检查。

Joomla 3.0.0-3.4.6远程代码施止漏洞预警-2.jpg

建复建议

更新至最新版本3.9.12
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

首页

论坛

群组

导读

我的

快速回复 返回顶部 返回列表