当前位置:安全资讯 >> 全文

Joomla修复严重漏洞

发布时间:2016-12-19 17:44
分享到 0

上周Joomla修复了一个高危漏洞,它允许攻击者通过重置用户名和密码的方式修改其它用户的账户。

Joomla 3.6.5版本解决了三个安全问题,不过其中只有一个被认定为具有高风险。除了这些修复外,这个版本还加强了安全固化机制。

这个高危漏洞CVE-2016-9838影响所有的Joomla版本(1.6.03.6.4),它是权限升级漏洞 ,依靠对未过滤表单验证失败会话的存储数据的不正确使用实施攻击。

攻击者利用这个漏洞可以修改现有的用户账户,包括用户名、密码和用户组分配。所有运行易受攻击的Joomla系统的站点都应该更新至最新版本。

Joomla 3.6.5版本还解决了一个shell上传漏洞(CVE-2016-9836),它允许具有可选PHP文件扩展的文件被上传,原因是没有对文件系统进行适当检查。第三个问题是信息披露漏洞(CVE-2016-9837),它使用户查看受限内容,原因是Beez3中没有正确检查ACL。这两个漏洞都是低危漏洞,影响3.0.03.6.4版本。另外这个漏洞还加强了安全固化机制,以限制用户做出会带来损害的配置变化。

本文由测腾代码卫士编译,不代表测腾观点,转载请注明“转自测腾代码卫士www.codesafe.cn”。
原文链接:http://www.securityweek.com/joomla-patches-dangerous-security-flaws
参与讨论,请先 登录 | 注册

用户评论