美国陆军使用的CMS内容管理系统曝出重大安全漏洞

admin 2020年8月19日10:57:31评论253 views字数 833阅读2分46秒阅读模式

点击蓝字关注我们




美国陆军使用的CMS内容管理系统曝出重大安全漏洞


安全公司Edgescan今天发布的一项分析报告显示,内容管理系统Concrete5 CMS包含一个重大漏洞,目前已通过更新版本解决。


Edgescan的高级信息安全顾问Guram Javakhishvili透露,Concrete5存在一个RCE(远程代码执行)安全漏洞,被利用后可对Web应用程序以及托管的Web服务器造成全面损害。”


Concrete5是一个免费的CMS系统,可以创建网站,并以其易用性而闻名。使用Concrete5的主要组织包括GlobalSign、美国陆军、REC和BASF等。


Javakhishvili指出,RCE漏洞易于利用,并可以让攻击者快速获得对应用程序的完全访问权限。在对该程序进行安全评估期间,Edgescan发现可以修改站点配置以上传PHP文件并执行任意命令。添加后,可以上传潜在的恶意PHP代码并执行系统命令。


通过“reverse shell”机制,攻击者可以完全控制Web服务器,在服务器上执行任意命令,损害其完整性,可用性和机密性。此外,攻击者接下来还可以攻击内部网络上的其他服务器。


Javakhishvili补充说,在调查之后,Concrete5现在已经修补了漏洞,并发布了最新的稳定版本:8.5.4。


Edgescan首席执行官Eoin Keary表示:


RCE可能给脆弱的Web应用程序以及Web服务器的带来灭顶之灾。Edgescan 2020漏洞统计报告中,整个技术堆栈中将近2%的漏洞归因于RCE 。


该调查提醒各种组织采取定期行动以确保其CMS系统安全。Edgescan建议的步骤包括保持已安装的脚本和CMS平台为最新版本,定期备份以及订阅CMS的定期更新的漏洞列表。


相关阅读

全球两大开源CMS曝漏洞 6千万网站面临DoS威胁

应用安全调查:半数企业有意识发布有漏洞代码

黑帽大会Web安全热点:Meetup曝出两大高危漏洞


美国陆军使用的CMS内容管理系统曝出重大安全漏洞

合作电话:18311333376
合作微信:aqniu001
投稿邮箱:[email protected]





美国陆军使用的CMS内容管理系统曝出重大安全漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年8月19日10:57:31
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   美国陆军使用的CMS内容管理系统曝出重大安全漏洞https://cn-sec.com/archives/95468.html

发表评论

匿名网友 填写信息