据外媒 9 月 21 日报道,网络安全公司 RIPS Technologies 研究人员发现全球知名内容管理系统 Joomla! 的登录页面存在一处高危漏洞(CVE-2017-14596),致使管理员登录凭证在线暴露。目前,受影响版本包括 Joomla! 1.5 — 3.7.5。
调查显示,当用户使用轻量级目录访问协议(LDAP)身份验证时,该漏洞将会影响 Joomla! 安装。此外,Joomla! 主要通过 TCP/IP 从插件管理器启用本机验证插件实现 LDAP 访问。然而,研究人员却发现,当启用 LDAP 认证插件时,攻击者可以尝试从登录页面逐个猜测管理员凭证,从而劫持账号信息。一旦成功登录,攻击者将接管 Joomla! 后台页面,并上传自定义插件,以获取 Web 服务器远程执行代码的扩展。
解决方法:
ο 研究人员已在线发布漏洞概念验证( PoC )
ο Joomla! 于本周发布补丁修复程序,建议用户升级至最新版本 Joomla! 3.8。
原作者:Pierluigi Paganini,译者:青楚
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文链接
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册