阿里云
FIFA
发表主题 回复主题
  • 2414阅读
  • 2回复

[安全漏洞公告专区]【漏洞公告】 CVE-2017-14596:Joomla! LDAP 注入漏洞

级别: 论坛版主
发帖
208
云币
388
2017年9月20日,国外安全研究人员通过RIPS在Joomla!登录控制器中检测到以前未知的 LDAP 注入漏洞。这一漏洞可能允许远程攻击者用盲注技术拿到超级用户密码, 如果Joomla!3.7.5的网站配置了LDAP验证,只需要20秒,攻击者就可以拿到超级用户密码。 KgR<E  
=W'Ae,&  
pxa(  
Joomla!是构建网站的一个免费软件。它同时也是一个开源项目,因此和大多数开源项目一样Joomla是不断在更新的。Joomla已非常成功发展了七年,也因拥有数百万的用户而在全球广为使用。 _F`lq_C  
具体详情如下:                                                                                                                                      
漏洞编号: [1u-Q%?#  
CVE-2017-14596 :ijAqfX  
漏洞名称: @mfEKU!  
Joomla!  LDAP 注入漏洞 D"D<+ ;S#  
官方评级: }I>tO9M  
高危 7"C$pm6  
漏洞描述: 8Q'0h m?  
通过利用登录页中的漏洞, 普通的远程攻击者可以有效地提取 Joomla 使用的 LDAP 服务的所有身份验证凭据。这些包括超级用户的用户名和密码,以及Joomla!管理员。然后, 攻击者只需要上传定制 Joomla! 扩展,进行远程代码执行,就可以使用被劫持的信息登录到管理员控制面板,  接管 Joomla!系统, 以及潜在的 web 服务器。 ( U xW;  
漏洞利用条件和方式: q*>&^V$M  
在joomla!配置为使用LDAP进行身份验证的条件下远程利用。 w.TuoWo>  
漏洞影响范围: SBS3?hw  
joomla!版本 1.5-3.7.5 HKUn`ng  
不受影响的版本 2_Z ? #Y  
Joomla! Version 3.8.0 $F5 b  
漏洞检测: U3dwI:cG  
开发人员检查是否使用了LDAP认证功能,并在受影响范围内。 ]'=)2 .}  
漏洞修复建议(或缓解措施): |mw.qI|  
Joomla! 官方已经发布了新版本3.8.0解决了该漏洞,请受影响的用户及时下载使用新版本来防护该漏洞。 |Ur"& Z{  
情报来源:  ^0 \  
  • https://blog.ripstech.com/2017/joomla-takeover-in-20-seconds-with-ldap-injection-cve-2017-14596/
  • https://www.joomla.org/announcements.html
  • https://downloads.joomla.org/
Vo'T!e- B  
", KCCis  
G VYkJ0,  
)`O~f_pIC  
2HsLc*9{4  
CmoE _8U>  
4p,EBn9(  
2KYw}j|5  
|#cm`v  
;"~ fZ2$U  
1oW ED*B  
?WqT[MnK  
(<xfCH F5  
>8#X;0\Kj  
Ni-xx9)=  
~lsl@  
%D%8^Zd_  
S]Mw #O|  
b((M)Gz  
E^/t$M|H  
Ki$MpA3j   
R5 - @  
o.!~8mD  
Kzm+GW3o[  
xRzFlay8  
pm 9"4z  
QLvHQtzwX  
"8x8UgG  
uXJ;A *  
*U,@q4  
IYS)7`{]  
WrxP  
V k  K  
AQ,' 6F9  
9.gXzP H  
:OhHb #D  
%,}A@H ,  
/'l{E  
z"-u95H  
g(qJN<R C/  
[B#R94  
Vt %bI0#  
[ 此帖被正禾在2017-09-21 18:09重新编辑 ]
级别: 管理员
发帖
308
云币
222745
只看该作者 沙发  发表于: 09-27
顶帖
级别: 新人
发帖
7
云币
7
只看该作者 板凳  发表于: 10-20
Re【漏洞公告】 CVE-2017-14596JoomlaLDAP 注入漏洞
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 30 - 11 = ?
上一个 下一个