阿里云
服务器地域选择
发表主题 回复主题
  • 2210阅读
  • 2回复

[安全漏洞公告专区]【漏洞公告】 CVE-2017-14596:Joomla! LDAP 注入漏洞

级别: 论坛版主
发帖
183
云币
339
2017年9月20日,国外安全研究人员通过RIPS在Joomla!登录控制器中检测到以前未知的 LDAP 注入漏洞。这一漏洞可能允许远程攻击者用盲注技术拿到超级用户密码, 如果Joomla!3.7.5的网站配置了LDAP验证,只需要20秒,攻击者就可以拿到超级用户密码。 Wm{Lg0Nr  
uz6S7I  
UMN3.-4K#  
Joomla!是构建网站的一个免费软件。它同时也是一个开源项目,因此和大多数开源项目一样Joomla是不断在更新的。Joomla已非常成功发展了七年,也因拥有数百万的用户而在全球广为使用。 #d,+87]\=  
具体详情如下:                                                                                                                                      
漏洞编号: kQ5mIJ9(  
CVE-2017-14596 1PD{m{  
漏洞名称: 7JvBzD42  
Joomla!  LDAP 注入漏洞 RjC3wO::  
官方评级: ?6;9r[ p  
高危 1]Q;fe  
漏洞描述: + niz(]  
通过利用登录页中的漏洞, 普通的远程攻击者可以有效地提取 Joomla 使用的 LDAP 服务的所有身份验证凭据。这些包括超级用户的用户名和密码,以及Joomla!管理员。然后, 攻击者只需要上传定制 Joomla! 扩展,进行远程代码执行,就可以使用被劫持的信息登录到管理员控制面板,  接管 Joomla!系统, 以及潜在的 web 服务器。 1 !N+hf  
漏洞利用条件和方式: "]1 !<M6\i  
在joomla!配置为使用LDAP进行身份验证的条件下远程利用。 |sP;`h}I%  
漏洞影响范围: _Mi`]VSq9  
joomla!版本 1.5-3.7.5 {t<E*5N]a  
不受影响的版本 cZB?_[Cp  
Joomla! Version 3.8.0 5L6_W -n{  
漏洞检测: u^HC1r|%  
开发人员检查是否使用了LDAP认证功能,并在受影响范围内。 1>I4=mj  
漏洞修复建议(或缓解措施): lyY\P6 X  
Joomla! 官方已经发布了新版本3.8.0解决了该漏洞,请受影响的用户及时下载使用新版本来防护该漏洞。 ,E8:!r)6  
情报来源: s!WGs_1@  
  • https://blog.ripstech.com/2017/joomla-takeover-in-20-seconds-with-ldap-injection-cve-2017-14596/
  • https://www.joomla.org/announcements.html
  • https://downloads.joomla.org/
?VUU[h8"v5  
rC`pTN  
SlU?,)J}  
`fTH"l1zn  
{)V!wSi  
]Sj<1tx7f  
H( L.k;B  
bSa%?laS  
k }amSsE  
9:DT+^BB  
WP5cC@x  
y vIeK6  
'e&L53n  
0d>|2QV   
-!o*A>N  
s#Os?Q?  
eILdq*  
5 [GdFd>{  
,> Ya%;h2k  
58[=.rzD  
p{@jM  
nXU`^<nA  
Z "mqH  
7)RDu,fx  
D02'P{  
1k)31GEQw  
d/"%fpp^0G  
u0Q 6 +U  
et`1#_o  
4h*c{do  
3<XP/c";  
$)YalZ  
&0b\E73  
&0*7]Wo*  
YD9|2S!G  
H\%^n<]#  
UuKW`(?^  
t f3R  
w,T-vf  
PIHix{YR  
ZGw 6Bd_I  
i}L*PCP  
[ 此帖被正禾在2017-09-21 18:09重新编辑 ]
级别: 管理员
发帖
301
云币
227808
只看该作者 沙发  发表于: 09-27
顶帖
级别: 新人
发帖
7
云币
7
只看该作者 板凳  发表于: 昨天 09:45
Re【漏洞公告】 CVE-2017-14596JoomlaLDAP 注入漏洞
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个