亚洲中文字幕无码久久2017,久久AV无码精品人妻系列,国产男女无遮挡猛进猛出,亚洲s码欧洲m码国产AV

安全公告編號(hào):CNTA-2017-0041

近日，國(guó)家信息安全漏洞共享平臺(tái)（CNVD）收錄了Joomla! com_fields組件存在的SQL注入漏洞（CNVD-2017-06861、對(duì)應(yīng)CVE-2017-8917）。遠(yuǎn)程攻擊者無(wú)需任何身份認(rèn)證，可獲取數(shù)據(jù)庫(kù)敏感信息，包括管理員登錄信息并控制網(wǎng)站后臺(tái)。

一、漏洞情況分析

Joomla!是一套基于PHP的開(kāi)源內(nèi)容管理系統(tǒng)(CMS)。可用于搭建商業(yè)網(wǎng)站、個(gè)人博客、信息管理系統(tǒng)、Web服務(wù)等，還可進(jìn)行二次開(kāi)發(fā)以擴(kuò)充使用范圍。

“com_fields”是Joomla! 3.7.0版本中引入的一個(gè)新的組件，在該組件的.MarchModelFields模型下的?./administrator/components/com_fields/models/fields.php文件中,有一個(gè)getListQuery方法對(duì)用戶輸入傳入到list.fullordering未進(jìn)行有效過(guò)濾，攻擊者利用該漏洞不需要任何身份認(rèn)證，通過(guò)給URL添加適當(dāng)?shù)膮?shù)（/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=），注入嵌套的SQL查詢即可獲取數(shù)據(jù)庫(kù)敏感信息。

CNVD對(duì)該漏洞的綜合評(píng)級(jí)均為“高危”。

二、漏洞影響范圍

漏洞影響Joomla! 3.7.0版本，由于存在漏洞的是Joomla!核心組件，采用該版本的網(wǎng)站服務(wù)器均受漏洞影響。根據(jù)CNVD秘書(shū)處對(duì)Joomla!應(yīng)用情況的普查（暫不區(qū)分具體版本），互聯(lián)網(wǎng)上約有43萬(wàn)臺(tái)網(wǎng)站服務(wù)器部署應(yīng)用Joomla!。按國(guó)家和地區(qū)分布，美國(guó)、德國(guó)、中國(guó)位居前三，分別占比56.5%、4.9%、4.3%；按容器軟件類型區(qū)分，Apache約占60.7%，Nginx約占25.6%，IIS約占2.7%，其他未知容器軟件約占11%。目前3.7版本比例占比較少，但隨著用戶后續(xù)升級(jí)，有可能進(jìn)一步增加數(shù)量。

三、漏洞修復(fù)建議

廠商已發(fā)布了漏洞修復(fù)方案，用戶可將程序升級(jí)至3.7.1版本：

https://downloads.joomla.org/cms/joomla3/3-7-1

附：參考鏈接：

https://blog.sucuri.net/2017/05/sql-injection-vulnerability-joomla-3-7.html

http://www.cnvd.org.cn/flaw/show/CNVD-2017-06861

注：CNVD技術(shù)組成員單位知道創(chuàng)宇公司及時(shí)報(bào)告了部分分析情況。