全部产品
云市场
云游戏

【漏洞公告】Joomla 3.2-3.4.4版本SQL注入漏洞

更新时间:2018-03-12 14:23:33

漏洞描述

Joomla 3.2-3.4.4存在SQL注入漏洞。攻击者可远程利用该漏洞,窃取用户数据库数据,包括用户名、密码、登录凭证等,并获取Joomla后台权限。

使用以下命令进行PoC测试,验证您的系统是否受该漏洞影响:

  1. /index.php?option=com_contenthistory&view=history&list[ordering]=&item_id=1&type_id=1&list[select]=(exp(~(select * from(select md5(1))x)))

如果页面返回文本中包含c4ca4238a0b923820dcc509a6f75849b字符串,则说明您的系统受该漏洞影响。

漏洞修复

升级到官方发布的3.4.5及以上版本。您可以登录到后台进行更新,或者下载安装官方升级包进行升级,下载地址为:https://github.com/joomla/joomla-cms/releases

注意:为保证业务正常运行,请先在测试环境中进行测试,确认无影响后再进行升级。