CVE-2017-8917は、Sucuriの研究者によって開示されたばかりのJoomlaの脆弱性です. 定期的な検索監査中, 研究者たちは、Joomlaに影響を与えるSQLインジェクションの欠陥を発見しました! 3.7. この欠陥は、ターゲットのサイトに特権アカウントを必要としないため、簡単に悪用される可能性があります.
CVE-2017-8917の詳細
この欠陥は、com_fieldsとして識別される新しいコンポーネントによって引き起こされます, バージョンで導入 3.7. このバージョンのJoomlaを使用する管理者は、エクスプロイトのリスクがあるため、すぐに更新する必要があります. さらに悪いことに、このコンポーネントは一般にアクセス可能です, これは、対象のJoomlaサイトにアクセスするすべての人がバグを使用できることを意味します.
さらに, そのような欠陥が攻撃者によって悪用される方法はたくさんあります, パスワードハッシュの漏洩やログインしたユーザーのセッションの乗っ取りなど. 2番目のシナリオでは、管理者セッションが盗まれた場合、対象のWebサイトが完全に侵害される可能性があります。, スクリは説明します.
公開されているcom_fieldsコンポーネントは、同じ名前の管理側コンポーネントからいくつかのビューを借用しています. これは奇妙なことのように聞こえるかもしれませんが, それは非常に実用的な目的を果たします-それは反対側のために書かれた一般的なコードの再利用を可能にします, もう一度最初から書く代わりに.
Joomla管理者はすぐにアップグレードする必要があります
Joomlaは最も人気のあるオープンソースCMSの1つなので (コンテンツ管理システム) この脆弱性は軽視されるべきではありません. あなたがJoomla管理者である場合、この欠陥に細心の注意を払う理由の1つは、攻撃者が管理者のアップグレードの遅さを利用することが多いためです。. 管理者が反応するのにかかる時間が長くなる, 攻撃が成功する可能性が高くなります.
「「これは深刻な脆弱性であり、脆弱なサイトを危険にさらすためにさまざまな方法で悪用される可能性があります. 今すぐアップデート,」Sucuriはアドバイスします.
JoomlaとWordPressの両方のサイトが攻撃の犠牲になることがよくあります. の 2016, そのようなサイトは、ユニークな 巧妙に作成された攻撃.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: