欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

CVE-2016-9838: Joomla 2016 最新漏洞

来源:本站整理 作者:佚名 时间:2016-12-18 TAG: 我要投稿

Joomla 最近发布了 Joomla CMS 的3-6-5版本。最新版本能够解决三个安全漏洞,其中一个漏洞 ---CVE-2016-9838,可使攻击者直接操控安全性低的网站。
Joomla 已将此漏洞归类为“高危漏洞”。
 
Joomla 的开发人员认为,攻击者利用数据过滤的缺陷,下载并执行恶意代码,改变已存账户的信息,包括改变用户名,重置用户密码并改变用户小组分配。一个熟练的程序员甚至可以利用这个漏洞,创造一个管理者账户和密码。
 
昨日发布的 Joomla 3.6.5,除了修复 CVE-2016-9838,还修复了另外两个安全漏洞:shell 上传漏洞和信息披露漏洞。这两个漏洞都被评为低危漏洞。与此同时,3.6.4版本还强化了 CMS 的源代码,增加了一些其他的安全功能。
 
大规模扫描接踵而至
Joomla 在十月下旬发布 3.6.4 版本后,攻击者便开始扫描整个因特网来寻找有漏洞的网站。
 
那时,Sucuri 的创始人兼 CTO,Daniel Ci 便认为:“不到一周的时间,任何未升级 Joomla 的网站都极有可能被攻击。”
 
漏洞在十月底被发现,并打包在 3.6.4 版本的Joomla 中,允许攻击者注册账号,并将自己升级为管理员,这和打包在3.6.5 版本 Joomla 的漏洞相似。
 
2015 年 12 月,类似的漏洞利用曾经发生过。攻击者,每天平均发起超过 16600 起攻击,来对抗 Joomla 最新打包的 0day。
尽快升级!
漏洞 CVE-2016-9838,影响了过去 5 年所有 Joomla 的版本。也就是说,所有运行 Joomla 1.6.0 到 3-6-4 版本的网站都将受到影响。
攻击者极有可能会将 CVE-2016-9838 当作武器,在用户升级之前,攻击尽可能多的网站。
使用 Joomla 的网站务必立刻升级 Joomla 到 3.6.5 的版本!
 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载