开源PHP组件漏洞曝光,多个运行CMS系统的网站受影响

发表于:2019-5-15 09:25  作者:安胜ANSCEN   来源:今日头条

字体: | 上一篇 | 下一篇 |我要投稿 | 推荐标签: 漏洞 PHP组件

  据外媒报道,研究人员发现,CMS制造商Typo3开发的开源PHP组件PharStreamWrapper存在安全漏洞,运行Drupal、Joomla或Typo3内容管理系统的网站均受影响。
 
  图片来源于创客贴
  据悉,该漏洞由研究人员Daniel Le Gall发现,被命名为Drupalgeddon,编号CVE-2019-11831,允许黑客使用恶意phar归档替换网站的合法归档文件。Drupal开发人员将其标记为中等危险级别,低于近期Drupal漏洞和早期远程代码执行漏洞的高危评级。
  Drupal官方发布漏洞公告称,通过构造含有恶意代码的Phar文件,黑客可绕过Drupal core7.x、8.x版本PHP组件中针对反序列化保护的拦截器,远程执行恶意代码,影响业务系统安全。
 
  图片来源于pixabay
  此外,黑客还可能会开发针对该漏洞的自动化攻击程序,植入后门程序进一步释放矿工程序或DDoS僵尸木马等恶意软件,影响网站正常运行。
  截至目前,官方已发布安全补丁修复该漏洞,专家建议网站管理员尽快更新以保护网站。其中运行Drupal版本8.7的网站需要升级到版本8.7.1,运行8.6或更早版本的网站需要更新到版本8.6.16,运行版本7的网站需要升级到版本7.67,而Joomla需要升级到版本3.9.6。
  
  图片来源于pixabay

      上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。

【调查报告】你以为的测试行业现状,其实是这样的!

评 论

论坛新帖

顶部 底部


建议使用IE 6.0以上浏览器,800×600以上分辨率,法律顾问:上海瀛东律师事务所 张楠律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2019, 沪ICP备05003035号
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪公网安备 31010102002173号

51Testing官方微信

51Testing官方微博

扫一扫 测试知识全知道