阿里云
社区时光机
发表主题 回复主题
  • 2709阅读
  • 2回复

[安全漏洞公告专区]【漏洞公告】 CVE-2017-14596:Joomla! LDAP 注入漏洞

级别: 论坛版主
发帖
221
云币
412
2017年9月20日,国外安全研究人员通过RIPS在Joomla!登录控制器中检测到以前未知的 LDAP 注入漏洞。这一漏洞可能允许远程攻击者用盲注技术拿到超级用户密码, 如果Joomla!3.7.5的网站配置了LDAP验证,只需要20秒,攻击者就可以拿到超级用户密码。 6K/RO)  
l& :EKh  
( ;FxKm<P@  
Joomla!是构建网站的一个免费软件。它同时也是一个开源项目,因此和大多数开源项目一样Joomla是不断在更新的。Joomla已非常成功发展了七年,也因拥有数百万的用户而在全球广为使用。 $@g]?*L:  
具体详情如下:                                                                                                                                      
漏洞编号: zTz}H*U  
CVE-2017-14596 V>@[\N[  
漏洞名称: vwCQvt  
Joomla!  LDAP 注入漏洞 JzyCeM =  
官方评级: mzgt>Qtkz=  
高危 -9Q(3$}  
漏洞描述: DeO-@4+qKd  
通过利用登录页中的漏洞, 普通的远程攻击者可以有效地提取 Joomla 使用的 LDAP 服务的所有身份验证凭据。这些包括超级用户的用户名和密码,以及Joomla!管理员。然后, 攻击者只需要上传定制 Joomla! 扩展,进行远程代码执行,就可以使用被劫持的信息登录到管理员控制面板,  接管 Joomla!系统, 以及潜在的 web 服务器。 P}bIp+  
漏洞利用条件和方式: 1'kO{Ge*p:  
在joomla!配置为使用LDAP进行身份验证的条件下远程利用。 i'>6Qo  
漏洞影响范围: BZq#OA p  
joomla!版本 1.5-3.7.5 H;Wrcf2  
不受影响的版本 <_EKCk  
Joomla! Version 3.8.0 5E!C?dv(z  
漏洞检测: /<LZt<K  
开发人员检查是否使用了LDAP认证功能,并在受影响范围内。 ^&zCPUH  
漏洞修复建议(或缓解措施): &?<uR)tl  
Joomla! 官方已经发布了新版本3.8.0解决了该漏洞,请受影响的用户及时下载使用新版本来防护该漏洞。 tpfgUZ{  
情报来源: fr17|#L+s  
  • https://blog.ripstech.com/2017/joomla-takeover-in-20-seconds-with-ldap-injection-cve-2017-14596/
  • https://www.joomla.org/announcements.html
  • https://downloads.joomla.org/
%I1@{>OxG  
S?J!.(  
C$[d~1t6  
P/%7kD@5;  
DfXkLOGik  
coP->&(@U#  
,jU>V]YC  
ZmA}i`  
"1O_h6 C  
u$ts>Q;5  
4:/]Y=)x  
<Q[%:LD  
ddn IKkOp  
,Py\Cp=Dw  
bz*@[NQ  
P,v7twc0M  
[2:d@=%.  
T(!1\TB  
)g pN 5TDd  
l`v5e"V  
E-A9lJWr  
* #yF`_p  
u>XXKlW:  
fu7x,b0p  
1k[_DQ=^l1  
1+%UZK= K  
z#{Y>.b  
YwVA].p@TI  
g#S X$k-O  
n:AZ(f   
j.M]F/j  
pte\1q[N  
r O87V!Cj  
7%h;To-<6  
@&jR^`Y.  
k>i88^kPV  
u#6s^ )W  
z,Xj$wl  
!t%1G.  
It*U"4lgi  
P@y)K!{Nk  
1^_W[+<S/  
[ 此帖被正禾在2017-09-21 18:09重新编辑 ]
级别: 管理员
发帖
326
云币
222772
只看该作者 沙发  发表于: 2017-09-27
顶帖
级别: 新人
发帖
7
云币
7
只看该作者 板凳  发表于: 2017-10-20
Re【漏洞公告】 CVE-2017-14596JoomlaLDAP 注入漏洞
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 27 + 19 = ?
上一个 下一个