UCloud-201610-003: UCloud率先实现Joomla高危漏洞自动防护 – U刻

UCloud-201610-003: UCloud率先实现Joomla高危漏洞自动防护 – U刻

UCloud-201610-003: UCloud率先实现Joomla高危漏洞自动防护

UCloud-201610-003: UCloud率先实现Joomla高危漏洞自动防护

云安全团队

2016.10.28
栏目：安全资讯

尊敬的UCloud用户:

Joomla被爆出存在账号创建（CVE-2016-8870）和权限提升漏洞（CVE-2016-8869），综合利用漏洞远程攻击者可以达到创建账户并提升到管理员权限，控制整个系统的目的。UCloud 漏洞扫描系统（UWS）和WAF已经率先完成扫描规则更新，实现了对这个漏洞的防护，已经开通使用权限的用户，可在控制台看到漏洞的检查结果。

权限申请地址：

UWS：https://www.ucloud.cn/site/product/uws.html

影响范围

Joomla 3.4.4-3.6.3

修复方案

升级到Joomla 3.6.4

漏洞详情

CVE-2016-8870：不严格的检查允许用户在网站不允许注册的时候注册账号。

CVE-2016-8869：不恰当的使用未经严格的数据导致已注册账号可以提升权限。

参考链接

https://developer.joomla.org/security-centre/659-20161001-core-account-creation.html

https://developer.joomla.org/security-centre/660-20161002-core-elevated-privileges.html?highlight=WyJjdmUtMjAxNi04ODY5Il0=

*本平台所发布文章信息，版权归UCloud所有，如需转载请注明出处！

云安全团队

查看TA的所有文章