开源PHP组件漏洞曝光,多个运行CMS系统的网站受影响

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了开源PHP组件漏洞曝光,多个运行CMS系统的网站受影响相关的知识,希望对你有一定的参考价值。

参考技术A

据外媒报道,研究人员发现,CMS制造商Typo3开发的开源php组件PharStreamWrapper存在安全漏洞, 运行Drupal、Joomla或Typo3内容管理系统的网站均受影响。

据悉,该漏洞由研究人员Daniel Le Gall发现,被命名为Drupalgeddon,编号CVE-2019-11831, 允许黑客使用恶意phar归档替换网站的合法归档文件。 Drupal开发人员将其标记为中等危险级别,低于近期Drupal漏洞和早期远程代码执行漏洞的高危评级。

Drupal官方发布漏洞公告称,通过构造含有恶意代码的Phar文件, 黑客可绕过Drupal core7.x、8.x版本PHP组件中针对反序列化保护的拦截器,远程执行恶意代码, 影响业务系统安全。

此外,黑客还可能会 开发针对该漏洞的自动化攻击程序, 植入后门程序进一步释放矿工程序或DDoS僵尸木马等恶意软件,影响网站正常运行。

截至目前,官方已发布安全补丁修复该漏洞, 专家建议网站管理员尽快更新以保护网站。 其中运行Drupal版本8.7的网站需要升级到版本8.7.1,运行8.6或更早版本的网站需要更新到版本8.6.16,运行版本7的网站需要升级到版本7.67,而Joomla需要升级到版本3.9.6。

以上是关于开源PHP组件漏洞曝光,多个运行CMS系统的网站受影响的主要内容,如果未能解决你的问题,请参考以下文章

DEDE CMS 是免费的吗?

CMS网站漏洞检测对获取管理员密码漏洞如何修复

怎么修复网站漏洞 骑士cms的漏洞修复方案

找了N多个国内国外.Net开源的CMS,几乎个个都有问题,跪求给我一个正常运行的开源的CMS啊,感激感激!!

WBCE CMS安全漏洞(CVE-2022-25099)

WBCE CMS安全漏洞(CVE-2022-25099)