阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 3805阅读
  • 1回复

[安全漏洞公告专区]【漏洞公告】CVE-2016-8869、CVE-2016-8870:Joomla账户创建和权限提升漏洞

级别: 论坛版主
发帖
241
云币
478
近日,Joomla! CMS系统被发现存在的账户创建漏洞和权限提升漏洞(对应CVE-2016-8869CVE-2016-8870),综合利用这两个漏洞,远程攻击者可在不允许注册的情况下注册账号,成功绕过安全限制创建账号并提升至管理员权限,远程控制网站系统。
具体详情如下:
      
"Z;~Y=hC13  
漏洞编号:CVE-2016-8869CVE-2016-8870 7sXy`+TZ->  
漏洞名称:Joomla!账户创建和权限提升漏洞 ec`bz "1  
漏洞危害: j*tk(o}qG  
黑客通过综合利用两个漏洞,远程攻击者可绕过安全限制创建账号并提升至管理员权限,远程控制网站系统。 {bT9VZ>  
漏洞利用条件: 0yn[L3x7  
7e1dEgn  
漏洞影响范围: }-d)ms!  
Joomla!3.4.43.6.3版本受影响 /r276Q  
漏洞测试方案: d'ZS;l   
您可以人工查看Joomla!版本号是否在3.4.4至3.6.3范围内,  ( :  
同时阿里云盾安骑士已经支持动检测功能,也可以使用阿里云云盾安骑士自动检测。 9*4 .  
漏洞修复建议(或缓解措施): w'A tf  
用户可升级Joomla!3.6.4最新版本,参考下载地址: -^yXLa;D  
https://www.joomla.org/announcements/release-news/5678-joomla-3-6-4-released.html '0Lov]L  
同时阿里云云盾安骑士已经支持自动补丁修复功能,用户可以使用安骑士自动修复功能完成漏洞修复。 x5oOF7#5  
RoX &+~  
参考信息 VKy5=2&  
[1].http://www.cnvd.org.cn/flaw/show/CNVD-2016-10055 u+m4!`  
[2].http://www.cnvd.org.cn/flaw/show/CNVD-2016-10056 bMsECA&  
[3].https://www.seebug.org/vuldb/ssvid-92096 W]_g4,T>  
[4].https://invisionpower.com/ 3 -tO;GKb  
[5].http://windows.php.net/downloads/releases/archives/ {&-#s#&  
[6].http://karmainsecurity.com/KIS-2016-11 @}(SR\~N]  
[7].http://cve.mitre.org/cgi-bin/cvename.cgi?name=2016-6174https://developer.joomla.org/security-centre/659-20161001-core-account-creation.html 6JSY56v  
[8].https://developer.joomla.org/security-centre/660-20161002-core-elevated-privileges.html fuMN"T 6%+  
[9].https://www.joomla.org/announcements/release-news/5678-joomla-3-6-4-released.html(补丁地址) rIVvO  
b vRB  
A;,Dg=FL/  
wZ jlHe  
bG(x:Py&  
Tr%FUi  
><=rIhG%H@  
[ 此帖被正禾在2016-10-27 10:07重新编辑 ]
级别: 新人
发帖
1
云币
1
只看该作者 沙发  发表于: 2016-11-24
Re【漏洞公告】CVE-2016-8869、CVE-2016-8870:Joomla账户创建和权限提升漏洞
够强大,支持
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)