服务公告

全部公告 > 安全公告 > Joomla 3.7.0 Core SQL注入漏洞安全预警

Joomla 3.7.0 Core SQL注入漏洞安全预警

2017-05-17

一、概要

Joomla!是世界上最受欢迎的内容管理系统(CMS)解决方案之一,截止至2016年11月,Joomla!的总下载量超过7800万次。最近Joomla!爆出一个SQL注入漏洞,该漏洞出现在3.7.0新引入的一个组件“com_fields”,这个组件任何人都可以访问,无需登陆验证。由于对请求数据过滤不严导致sql 注入,sql注入对导致数据库中的敏感信息泄漏,例如用户的密码hash以及登陆后的用户的session(如果是获取到登陆后管理员的session,那么整个网站的后台系统可能被控制)。

官方链接:https://www.joomla.org/announcements/release-news/5705-joomla-3-7-1-release.html

二、漏洞级别

漏洞级别:严重。

(说明:漏洞级别共四级:一般、重要、严重、紧急。)

三、影响范围

Joomla! 3.7.0 Core

四、验证方法

进入Joomla后台,打开顶端导航栏的System,选择下拉菜单中的System Information,在新打开的页面System Information列表中,可以找到”Joomla! Version”部分,如果版本为3.7.0,即涉及该漏洞。

五、安全建议

目前网上已有POC,强烈建议立即升级到最新版Joomla! 3.7.1

下载链接:https://downloads.joomla.org/cms/joomla3/3-7-1

注意:修复漏洞前请将资料备份,并进行充分测试。

点我,12·12惊喜等着你哦~