发布时间:2019-10-11 14:21:07,来源:中国信息通信研究院
一、 内容概述
内容管理系统 Joomla 早期版本中存在远程代码执行漏洞。
受影响版本:
Joomla Version >= 3.0.0
Joomla Version <= 3.4.6
二、详细说明
Joomla是一套全球知名的内容管理系统。Joomla 3.4.4至3.6.3版本的内核组件中的components/com_users/controllers/user.php 文件中的‘UsersControllerUser::register()’函数存在安全绕过漏洞,该漏洞源于注册函数没有判断网站是否关闭注册。攻击者可利用该漏洞绕过安全限制,注册新用户。
三、处理方法和建议
漏洞修复建议:
目前官方已发布3.9.12版本,更新Joomla 版本为 3.4.7 或更高版本可防止攻击。
参考链接:
1) https://www.zdnet.com/article/zero-day-published-for-old-joomla-cms-versions/
2) https://blog.hacktivesecurity.com/index.php?controller=post&action=view&id_post=41