Joomla 高危漏洞：允许远程攻击者创建高特权帐户、接管 CMS

Joomla CMS 项目组昨日发布 3.6.4 版本补丁修复两个”高危“漏洞：① CVE-2016-8870 允许攻击者在禁止注册的网站上创建账户；② CVE-2016-8869 则允许攻击者提升权限成为高特权账户。利用两者配合就能顺利接管 Joomla CMS 的安装。

2016年10 月 18 日安全工程师 Demis Palma 发现了 CVE-2016-8870 漏洞，Joomla 安全团队（JSST）成员 Davide Tampellini 在三天后进一步发现了 CVE-2016-8869 漏洞。官方意识到漏洞危害后迅速发布公告并开始修复漏洞，为防黑客利用漏洞入侵脆弱的网站，工程师 Tampellini 和 JSST 团队拒绝透露漏洞详细信息。安全人员的担忧不无道理，2015 年 12 月中旬曾出现的 0-day 漏洞 CVE-2015-8562 由于细节过度曝光，两周内几乎每天发生 16600 起黑客试图接管 Joomla CMS 的攻击事件。
监控显示目前互联网中并未出现利用 CVE-2016-8870 和 CVE-2016-8869  漏洞的攻击代码，官方建议用户们尽快从官方或 Github 上下载 Joomla CMS 最新版本。

稿源：本站翻译整理，封面来源：百度搜索

from hackernews.cc.thanks for it.