文档章节

Joomla! 任意用户注册与提权漏洞 请及时更新

小猪猪的风
 小猪猪的风
发布于 2016/10/31 13:54
字数 584
阅读 15
收藏 0

  【25日Joomla!公告】

Joomla!3.6.4已经发布,这是Joomla 3.x系列的安全更新!它修复了两个关键的安全问题和一个关于双因素身份认证的bug。我们强烈建议您立即更新您的网站。

和Joomla! 3.6.3相比,这个版本仅仅修复了两个关键的安全问题和一个关于双因素身份认证的bug,其他没有任何更改。

漏洞一:允许攻击者创建账号

漏洞利用类型:帐户创建

报告日期:2016年10月18日

修复日期:2016年10月25日

漏洞编号:CVE-2016-8870

描述:不恰当的检查允许用户在网站注册功能禁用的情况下进行注册

影响版本:3.4.4到3.6.3

修复办法:升级到Joomla!3.6.4版本

漏洞二:允许攻击者提升账户权限

漏洞利用类型:提升权限

报告日期:2016年10月21日

修复日期:2016年10月25日

漏洞编号:CVE-2016-8869

描述:错误使用未过滤的数据导致已注册账号可以提升权限

影响版本:3.4.4到3.6.3

修复办法:升级到Joomla!3.6.4版本

这两个漏洞对3.4.4至3.6.3版本均造成影响。攻击者可利用这两个漏洞在网站未开启用户注册的情况下注册用户并将用户权限提升至管理员权限。建议立即更新至Joomla!3.6.4版本。

【21日 Joomla! 3.6.4 - 重要安全公告】

官方将于10月25日14:00 UTC发布Joomla! 3.6.4版本,修复一个关键安全问题。

这是一个非常重要的安全问题修复,请在下周二安装更新您的Joomla!。

请理解,在发布之前,我们不会提供关于这个漏洞的任何信息。

原文链接:

[1]https://www.joomla.org/announcements/release-news/5678-joomla-3-6-4-released.html

[2]https://www.joomla.org/announcements/release-news/5677-important-security-announcement-pre-release-364.html

[3]https://developer.joomla.org/security-centre/659-20161001-core-account-creation.html

[4]https://developer.joomla.org/security-centre/660-20161002-core-elevated-privileges.html

本文转载自:http://www.safedog.cn/news.html?id=1896

共有 人打赏支持
小猪猪的风
粉丝 14
博文 360
码字总数 60296
作品 0
厦门
微软对外披露两个0day漏洞详情

  微软近日对外披露了两个0day漏洞详情,其中一个漏洞存在Adobe阅读器中,可被利用导致任意代码执行;另一个漏洞则允许任意代码在Windows kernel内存中提权执行。   微软称由于该漏洞利用...

FreeBuf
07/12
0
0
2018年1月安卓安全公告,谷歌修复5个关键BUG和33个高危漏洞

  作为Android安全公告的一部分,谷歌在2018年1月修复了5个关键漏洞和33个严重缺陷。这家科技巨头解决了38个Android安全漏洞,其中20个是2018-01-01安全补丁的一部分以及18个2018-01-05的安...

FreeBuf
01/08
0
0
腾讯云关于 Linux 系统“脏牛”漏洞的修复通告

昨日,我们发布了一条 Linux 严重提权漏洞正被利用的新闻。今日,腾讯云在其官方论坛公布了关于 Linux 系统“脏牛”漏洞的修复通告。内容如下: 近日Linux官方爆出了“脏牛”漏洞(代号:Dir...

局长
2016/10/23
8.7K
15
针对CVE-2018-8120 Windows提权工具兼容性BUG定位及修复

  一、背景介绍:   2018年5月微软发布了针对Windows操作系统内核组件漏洞(CVE-2018-8210)的补丁,该漏洞影响多个版本的操作系统,成功利用漏洞可使得普通应用程序以内核权限执行任意代...

FreeBuf
08/16
0
0
阿里巴巴发布《2015移动安全漏洞年报》

第一章 2015年应用漏洞 1.1 业界公开的应用漏洞类型和分布 2015是不平凡的一年,各界媒体对移动应用的漏洞关注度也越来越高,漏洞的产生不仅带来用户设备与信息的安全影响,也给企业带来业务...

阿里聚安全
2016/03/07
567
2

没有更多内容

加载失败,请刷新页面

加载更多

下一页

(一)软件测试专题——之Linux常用命令篇01

本文永久更新地址:https://my.oschina.net/bysu/blog/1931063 【若要到岸,请摇船:开源中国 不最醉不龟归】 Linux的历史之类的很多书籍都习惯把它的今生来世,祖宗十八代都扒出来,美其名曰...

不最醉不龟归
22分钟前
6
0
蚂蚁金服Java开发三面

8月20号晚上8点进行了蚂蚁金服Java开发岗的第三面,下面开始: 自我介绍(要求从实践过程以及技术背景角度着重介绍) 实习经历,说说你在公司实习所做的事情,学到了什么 关于你们的交易平台...

edwardGe
29分钟前
7
0
TypeScript基础入门 - 函数 - this(三)

转载 TypeScript基础入门 - 函数 - this(三) 项目实践仓库 https://github.com/durban89/typescript_demo.gittag: 1.2.4 为了保证后面的学习演示需要安装下ts-node,这样后面的每个操作都能...

durban
39分钟前
0
0
Spark core基础

Spark RDD的五大特性 RDD是由一系列的Partition组成的,如果Spark计算的数据是在HDFS上那么partition个数是与block数一致(大多数情况) RDD是有一系列的依赖关系,有利于Spark计算的容错 RDD中每...

张泽立
46分钟前
0
0
如何搭建Keepalived+Nginx+Tomcat高可用负载均衡架构

一.概述 初期的互联网企业由于业务量较小,所以一般单机部署,实现单点访问即可满足业务的需求,这也是最简单的部署方式,但是随着业务的不断扩大,系统的访问量逐渐的上升,单机部署的模式已...

Java大蜗牛
今天
0
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部