全部产品
云市场

【漏洞公告】CVE-2016-8869、CVE-2016-8870:Joomla账户创建和权限提升漏洞

更新时间:2018-03-12 13:55:42

近日,Joomla! CMS系统被发现存在的账户创建漏洞和权限提升漏洞,分别对应CVE-2016-8869和CVE-2016-8870。综合利用这两个漏洞,远程攻击者可在不允许注册的情况下注册账号,成功绕过安全限制创建账号并提升至管理员权限,远程控制网站系统。

漏洞详情见下文。


漏洞编号

CVE-2016-8869、CVE-2016-8870

漏洞名称

Joomla!账户创建和权限提升漏洞

漏洞危害

综合利用这两个漏洞,远程攻击者可绕过安全限制创建账号并提升至管理员权限,远程控制网站系统。

漏洞利用条件

漏洞影响范围

Joomla! 3.4.4至3.6.3版本

漏洞检测方案

  • 查看Joomla!版本号是否在3.4.4至3.6.3范围内。
  • 使用阿里云云盾安骑士自动检测该漏洞。

漏洞修复建议(或缓解措施)

情报来源

[1]. http://www.cnvd.org.cn/flaw/show/CNVD-2016-10055
[2]. http://www.cnvd.org.cn/flaw/show/CNVD-2016-10056
[3]. https://www.seebug.org/vuldb/ssvid-92096
[4]. https://invisionpower.com/
[5]. http://windows.php.net/downloads/releases/archives/
[6]. http://karmainsecurity.com/KIS-2016-11
[7]. http://cve.mitre.org/cgi-bin/cvename.cgi?name=2016-6174 https://developer.joomla.org/security-centre/659-20161001-core-account-creation.html
[8]. https://developer.joomla.org/security-centre/660-20161002-core-elevated-privileges.html
[9]. https://www.joomla.org/announcements/release-news/5678-joomla-3-6-4-released.html