Joomla! LDAP 协议注入漏洞可使管理员登录凭证在线暴露（已修复）

据外媒 9 月 21 日报道，网络安全公司 RIPS Technologies 研究人员发现全球知名内容管理系统 Joomla! 的登录页面存在一处高危漏洞（CVE-2017-14596），致使管理员登录凭证在线暴露。目前，受影响版本包括 Joomla! 1.5 — 3.7.5。

调查显示，当用户使用轻量级目录访问协议（LDAP）身份验证时，该漏洞将会影响 Joomla! 安装。此外，Joomla! 主要通过 TCP/IP 从插件管理器启用本机验证插件实现 LDAP 访问。然而，研究人员却发现，当启用 LDAP 认证插件时，攻击者可以尝试从登录页面逐个猜测管理员凭证，从而劫持账号信息。一旦成功登录，攻击者将接管 Joomla! 后台页面，并上传自定义插件，以获取 Web 服务器远程执行代码的扩展。

解决方法:

ο 研究人员已在线发布漏洞概念验证（ PoC ）

ο Joomla! 于本周发布补丁修复程序，建议用户升级至最新版本 Joomla! 3.8。

原作者：Pierluigi Paganini，译者：青楚 
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc ” 并附上原文链接