当前位置:首页 > 漏洞预警 > 正文

关于Joomla3.0.0-3.4.6远程代码执行漏洞安全通告

发布时间:2019-10-11 14:21:07,来源:中国信息通信研究院

      一、 内容概述

内容管理系统 Joomla 早期版本中存在远程代码执行漏洞。

受影响版本:

Joomla Version >= 3.0.0

Joomla Version <= 3.4.6

      二、详细说明

Joomla是一套全球知名的内容管理系统。Joomla 3.4.4至3.6.3版本的内核组件中的components/com_users/controllers/user.php 文件中的‘UsersControllerUser::register()’函数存在安全绕过漏洞,该漏洞源于注册函数没有判断网站是否关闭注册。攻击者可利用该漏洞绕过安全限制,注册新用户。

      三、处理方法和建议

漏洞修复建议:

目前官方已发布3.9.12版本,更新Joomla 版本为 3.4.7 或更高版本可防止攻击。

参考链接

1) https://www.zdnet.com/article/zero-day-published-for-old-joomla-cms-versions/

2) https://blog.hacktivesecurity.com/index.php?controller=post&action=view&id_post=41