美国陆军使用的CMS内容管理系统曝出重大安全漏洞

美国陆军使用的CMS内容管理系统曝出重大安全漏洞

黑客学院访客2021-10-11 13:06:007183A+A-

安全公司Edgescan今天发布的一项分析报告显示,内容管理系统Concrete5 CMS包含一个重大漏洞,目前已通过更新版本解决。

Edgescan的高级信息安全顾问Guram Javakhishvili透露,Concrete5存在一个RCE(远程代码执行)安全漏洞,被利用后可对Web应用程序以及托管的Web服务器造成全面损害。

Concrete5是一个免费的CMS系统,可以创建网站,并以其易用性而闻名。使用Concrete5的主要组织包括GlobalSign、美国陆军、REC和BASF等。

Javakhishvili指出,RCE漏洞易于利用,并可以让攻击者快速获得对应用程序的完全访问权限。在对该程序进行安全评估期间,Edgescan发现可以修改站点配置以上传PHP文件并执行任意命令。添加后,可以上传潜在的恶意PHP代码并执行系统命令。

通过“reverse shell”机制,攻击者可以完全控制Web服务器,在服务器上执行任意命令,损害其完整性,可用性和机密性。此外,攻击者接下来还可以攻击内部网络上的其他服务器。

Javakhishvili补充说,在调查之后,Concrete5现在已经修补了漏洞,并发布了最新的稳定版本:8.5.4。

Edgescan首席执行官Eoin Keary表示:

RCE可能给脆弱的Web应用程序以及Web服务器的带来灭顶之灾。Edgescan 2020漏洞统计报告中,整个技术堆栈中将近2%的漏洞归因于RCE 。

该调查提醒各种组织采取定期行动以确保其CMS系统安全。Edgescan建议的步骤包括保持已安装的脚本和CMS平台为最新版本,定期备份以及订阅CMS的定期更新的漏洞列表。

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 3条评论
  • 瑰颈节枝2022-06-03 14:48:55
  • Javakhishvili补充说,在调查之后,Concrete5现在已经修补了漏洞,并发布了最新的稳定版本:8.5.4。Edgescan首席执行官Eoin Keary表示:RCE可能给脆弱的Web应用程序以及Web服务器的带来灭顶
  • 离鸢海夕2022-06-03 12:02:43
  • ary表示:RCE可能给脆弱的Web应用程序以及Web服务器的带来灭顶之灾。Edgescan 2020漏洞统计报告中,整个技术堆栈中将近2%的漏洞归因于RCE 。该调查提醒各种组织采取定期行动以确保其CMS系统安全。Edgescan建议的步骤包括保持已安装的脚本和CMS
  • 末屿僚兮2022-06-03 16:29:29
  • 术堆栈中将近2%的漏洞归因于RCE 。该调查提醒各种组织采取定期行动以确保其CMS系统安全。Edgescan建议的步骤包括保持已安装的脚本和CMS平台为最新版本,定期备份以

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理