漏洞发现时间:
2017-09-26
漏洞编号:
CVE-2017-14596
危险等级:
高危
受影响软件:
Joomla! 1.5-3.7.5
漏洞描述:
Joomla!是Open SourceMatters团队开发的一套开源的使用PHP语言和MySQL数据库的内容管理系统(CMS),是网站的一个基础管理平台。可以在Linux、 Windows、MacOSX等各种不同的平台上执行。
该漏洞的利用条件是,Joomla!配置使用LDAP进行身份验证。LDAP认证插件中的转义不足,导致远程攻击者可以提取到使用LDAP服务器的所有身份验证凭据(用户名和密码),利用获取到的信息可以登录到管理员控制面板。
来源参考:
https://blog.ripstech.com/2017/joomla-takeover-in-20-seconds-with-ldap-injection-cve-2017-14596/
专家建议:
更新到版本3.8.0。
厂商补丁:
https://developer.joomla.org/security-centre/711-20170902-core-ldap-information-disclosure