Joomla 曝高危破绽,攻击者可重置暗码并接受网站 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

Joomla 曝高危破绽,攻击者可重置暗码并接受网站

克日,着名CMS joomla宣布了3.6.5的版本更新,修补了可以或许致使进击者重置用户暗码并接受网站的CVE- 2016 – 9838破绽,和其他两个破绽。

QQ截图20161215162000.jpg QQ截图20161215162000.jpg

CVE- 2016 – 9838可以或许影响到一切运转Joomla1.6.0到3.6.4的网站,也就是说一切在曩昔五年里宣布的Joomla版本都将受到影响。因而,更新到3.6.5明显曾经成了独一的挑选,不然站长们就会发明他们的网站会成为垃圾邮件SEO或许DDOS僵尸收集的一部分。

由于CVE- 2016 – 9838许可进击者修正用户名和暗码,以是Joomla的开辟团队将其定性为“高危”,听说这个破绽是由于一个会话表单考证失利致使的,因而进击者可以或许应用其缺少数据过滤的题目来上传并实行恶意代码,进而对现有账户的详细信息停止变动。

正确的来讲,进击者是可以或许对用户名停止修正而且重置暗码,变动用户组的分派。这就使得若是进击者对网站充足相识就可以或许在这一网站上建立本身的***账户,而且可以或许运用本身的暗码。

除CVE- 2016 – 9838,这一次的3.6.5版本更新还修复了别的两个shell上传破绽,其中有一个异样可以或许转变其他用户的暗码,不外这两个破绽被标注为“低危”。

现在,Joomla3.6.5曾经为用户供应了下载而且还在源代码中增加了分外的平安特征。

———————————————-

申博|网络安全巴士站【www.bus123.net】

申博|网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。。

———————————————-

大规模的扫描曾经涌现

开辟者们提示用户应当尽快去升级到最新版本,由于有音讯称在10月下旬Joomla3.6.4宣布后就曾经有进击者在对存在该破绽的网站停止大范围的扫描了。

 Sucuri的创始人兼CTO Daniel Cid如许说道,

不到一个礼拜,任何依然没有更新到最新版Joomla的用户都将被进击。

该破绽最早被发明是在10月尾,3.6.4版本和其补钉版都存在题目——许可进击者注册账户并将本身的账户加入到***群组中。

事实上,客岁joomla也曾发生过相似的事变,2015年12月,进击者就曾应用Joomla的零日破绽提议天天凌驾16600次的进击。

因而,这一次CVE – 2016 – 9838依然有能够被兵器化的运用,从而使得进击者可以或许去进击充足多的网站。

本文翻译于bleepingcomputer,如若转载,请说明来源于嘶吼: http://www.4hou.com/info/news/1541.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Joomla 曝高危破绽,攻击者可重置暗码并接受网站
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址