Joomla! 任意用户注册与提权漏洞 请及时更新
Joomla! 任意用户注册与提权漏洞 请及时更新
小猪猪的风 发表于2年前
Joomla! 任意用户注册与提权漏洞 请及时更新
  • 发表于 2年前
  • 阅读 14
  • 收藏 0
  • 点赞 0
  • 评论 0

移动开发云端新模式探索实践 >>>   

摘要: 这两个漏洞对3.4.4至3.6.3版本均造成影响。攻击者可利用这两个漏洞在网站未开启用户注册的情况下注册用户并将用户权限提升至管理员权限。建议立即更新至Joomla!3.6.4版本。

  【25日Joomla!公告】

Joomla!3.6.4已经发布,这是Joomla 3.x系列的安全更新!它修复了两个关键的安全问题和一个关于双因素身份认证的bug。我们强烈建议您立即更新您的网站。

和Joomla! 3.6.3相比,这个版本仅仅修复了两个关键的安全问题和一个关于双因素身份认证的bug,其他没有任何更改。

漏洞一:允许攻击者创建账号

漏洞利用类型:帐户创建

报告日期:2016年10月18日

修复日期:2016年10月25日

漏洞编号:CVE-2016-8870

描述:不恰当的检查允许用户在网站注册功能禁用的情况下进行注册

影响版本:3.4.4到3.6.3

修复办法:升级到Joomla!3.6.4版本

漏洞二:允许攻击者提升账户权限

漏洞利用类型:提升权限

报告日期:2016年10月21日

修复日期:2016年10月25日

漏洞编号:CVE-2016-8869

描述:错误使用未过滤的数据导致已注册账号可以提升权限

影响版本:3.4.4到3.6.3

修复办法:升级到Joomla!3.6.4版本

这两个漏洞对3.4.4至3.6.3版本均造成影响。攻击者可利用这两个漏洞在网站未开启用户注册的情况下注册用户并将用户权限提升至管理员权限。建议立即更新至Joomla!3.6.4版本。

【21日 Joomla! 3.6.4 - 重要安全公告】

官方将于10月25日14:00 UTC发布Joomla! 3.6.4版本,修复一个关键安全问题。

这是一个非常重要的安全问题修复,请在下周二安装更新您的Joomla!。

请理解,在发布之前,我们不会提供关于这个漏洞的任何信息。

原文链接:

[1]https://www.joomla.org/announcements/release-news/5678-joomla-3-6-4-released.html

[2]https://www.joomla.org/announcements/release-news/5677-important-security-announcement-pre-release-364.html

[3]https://developer.joomla.org/security-centre/659-20161001-core-account-creation.html

[4]https://developer.joomla.org/security-centre/660-20161002-core-elevated-privileges.html

  • 打赏
  • 点赞
  • 收藏
  • 分享
共有 人打赏支持
粉丝 14
博文 359
码字总数 60296
×
小猪猪的风
如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!
* 金额(元)
¥1 ¥5 ¥10 ¥20 其他金额
打赏人
留言
* 支付类型
微信扫码支付
打赏金额:
已支付成功
打赏金额: