Joomla远程代码执行漏洞(CVE-2021-23132)

  • A+
所属分类:安全漏洞

0x00 漏洞概述

CVE  ID

CVE-2021-23132

时   间

2021-03-10

类   型

 RCE

等   级

高危

远程利用

影响范围

Joomla CMS 3.0.0-3.9.24

 

0x01 漏洞详情

Joomla远程代码执行漏洞(CVE-2021-23132)


Joomla是一套全球知名的内容管理系统,其使用PHP语言和 MySQL数据库开发,可以在Linux、 Windows、MacOSX等各种不同的平台上运行。

2021年03月06日,Joomla官方发布安全公告,修复了Joomla中的一个远程代码执行漏洞(CVE-2021-23132),其CVSSv3评分为7.5。由于Joomlacom_media模块对上传文件校验不严格,攻击者可以通过上传恶意文件,从而实现远程代码执行。

截止目前,通过ZoomEye搜索,全球共630034个暴露在互联网上的网站正在使用Joomla,其中中国排名第7位,共计45045。

Joomla远程代码执行漏洞(CVE-2021-23132)

Joomla远程代码执行漏洞(CVE-2021-23132)


 

0x02 处置建议

目前官方已修复了此漏洞,建议升级至3.9.25。

下载链接:

https://downloads.joomla.org/cms/joomla3/3-9-25/Joomla_3-9-25-Stable-Full_Package.zip?format=zip

 

0x03 参考链接

https://developer.joomla.org/security-centre/846-20210306-core-com-media-allowed-paths-that-are-not-intended-for-image-uploads.html

https://vti.huaun.com/watchVul?warnId=20888b7e00494e40a350330b0e848d43

https://nvd.nist.gov/vuln/detail/CVE-2021-23132

 

 

0x04 时间线

2021-03-06  Joomla发布安全公告

2021-03-10  VSRC发布安全通告

 

0x05 附录

 

CVSS评分标准官网:http://www.first.org/cvss/


 


本文始发于微信公众号(维他命安全):Joomla远程代码执行漏洞(CVE-2021-23132)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: