阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 3812阅读
  • 1回复

[安全漏洞公告专区]【漏洞公告】CVE-2016-8869、CVE-2016-8870:Joomla账户创建和权限提升漏洞

级别: 论坛版主
发帖
241
云币
478
近日,Joomla! CMS系统被发现存在的账户创建漏洞和权限提升漏洞(对应CVE-2016-8869CVE-2016-8870),综合利用这两个漏洞,远程攻击者可在不允许注册的情况下注册账号,成功绕过安全限制创建账号并提升至管理员权限,远程控制网站系统。
具体详情如下:
      
:L~{Q>o  
漏洞编号:CVE-2016-8869CVE-2016-8870 |v,5s=} 7  
漏洞名称:Joomla!账户创建和权限提升漏洞 RoV^sbWFt  
漏洞危害: FtaO@5pS54  
黑客通过综合利用两个漏洞,远程攻击者可绕过安全限制创建账号并提升至管理员权限,远程控制网站系统。 {u3eel  
漏洞利用条件: 4eZ  
"|{3V:e>a  
漏洞影响范围: ~FnB!Mh}?  
Joomla!3.4.43.6.3版本受影响 85>WK+=  
漏洞测试方案: Q_ zGs6  
您可以人工查看Joomla!版本号是否在3.4.4至3.6.3范围内, PNm WZW*  
同时阿里云盾安骑士已经支持动检测功能,也可以使用阿里云云盾安骑士自动检测。 'z'q)vcr  
漏洞修复建议(或缓解措施):  .AEOf0t  
用户可升级Joomla!3.6.4最新版本,参考下载地址: z:RclDm  
https://www.joomla.org/announcements/release-news/5678-joomla-3-6-4-released.html ttazY#  
同时阿里云云盾安骑士已经支持自动补丁修复功能,用户可以使用安骑士自动修复功能完成漏洞修复。 I) mP ?  
<AZ21"oR/  
参考信息 64qm  
[1].http://www.cnvd.org.cn/flaw/show/CNVD-2016-10055 ]_cBd)3P}  
[2].http://www.cnvd.org.cn/flaw/show/CNVD-2016-10056 oSmv  (O  
[3].https://www.seebug.org/vuldb/ssvid-92096 +-b:XeHSZ  
[4].https://invisionpower.com/ %Pr P CT  
[5].http://windows.php.net/downloads/releases/archives/ HPc7Vo(  
[6].http://karmainsecurity.com/KIS-2016-11 ',?9\xEB  
[7].http://cve.mitre.org/cgi-bin/cvename.cgi?name=2016-6174https://developer.joomla.org/security-centre/659-20161001-core-account-creation.html -7 GF2 @  
[8].https://developer.joomla.org/security-centre/660-20161002-core-elevated-privileges.html +UzFHiGy#  
[9].https://www.joomla.org/announcements/release-news/5678-joomla-3-6-4-released.html(补丁地址) Va^AEuzF  
A=Au>"nAA  
w]Q0}Z  
/u9Md3q*'  
X!+#1NPM  
it=4cHT  
zzf;3S?  
[ 此帖被正禾在2016-10-27 10:07重新编辑 ]
级别: 新人
发帖
1
云币
1
只看该作者 沙发  发表于: 2016-11-24
Re【漏洞公告】CVE-2016-8869、CVE-2016-8870:Joomla账户创建和权限提升漏洞
够强大,支持
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)