Joomla CMS 项目组昨日发布 3.6.4 版本补丁修复两个”高危“漏洞:① CVE-2016-8870 允许攻击者在禁止注册的网站上创建账户;② CVE-2016-8869 则允许攻击者提升权限成为高特权账户。利用两者配合就能顺利接管 Joomla CMS 的安装。
2016年10 月 18 日安全工程师 Demis Palma 发现了 CVE-2016-8870 漏洞,Joomla 安全团队(JSST)成员 Davide Tampellini 在三天后进一步发现了 CVE-2016-8869 漏洞。官方意识到漏洞危害后迅速发布公告并开始修复漏洞,为防黑客利用漏洞入侵脆弱的网站,工程师 Tampellini 和 JSST 团队拒绝透露漏洞详细信息。安全人员的担忧不无道理,2015 年 12 月中旬曾出现的 0-day 漏洞 CVE-2015-8562 由于细节过度曝光,两周内几乎每天发生 16600 起黑客试图接管 Joomla CMS 的攻击事件。
监控显示目前互联网中并未出现利用 CVE-2016-8870 和 CVE-2016-8869 漏洞的攻击代码,官方建议用户们尽快从官方或 Github 上下载 Joomla CMS 最新版本。
稿源:本站翻译整理,封面来源:百度搜索
from hackernews.cc.thanks for it.