Joomla远程代码执行漏洞(CVE-2021-23132)

admin
admin
admin
139627
文章
114
评论
2021年3月10日04:34:22评论202 views字数 910阅读3分2秒阅读模式

0x00 漏洞概述

CVE  ID

CVE-2021-23132

时   间

2021-03-10

类   型

 RCE

等   级

高危

远程利用

影响范围

Joomla CMS 3.0.0-3.9.24

 

0x01 漏洞详情

Joomla远程代码执行漏洞(CVE-2021-23132)


Joomla是一套全球知名的内容管理系统,其使用PHP语言和 MySQL数据库开发,可以在Linux、 Windows、MacOSX等各种不同的平台上运行。

2021年03月06日,Joomla官方发布安全公告,修复了Joomla中的一个远程代码执行漏洞(CVE-2021-23132),其CVSSv3评分为7.5。由于Joomlacom_media模块对上传文件校验不严格,攻击者可以通过上传恶意文件,从而实现远程代码执行。

截止目前,通过ZoomEye搜索,全球共630034个暴露在互联网上的网站正在使用Joomla,其中中国排名第7位,共计45045。

Joomla远程代码执行漏洞(CVE-2021-23132)

Joomla远程代码执行漏洞(CVE-2021-23132)


 

0x02 处置建议

目前官方已修复了此漏洞,建议升级至3.9.25。

下载链接:

https://downloads.joomla.org/cms/joomla3/3-9-25/Joomla_3-9-25-Stable-Full_Package.zip?format=zip

 

0x03 参考链接

https://developer.joomla.org/security-centre/846-20210306-core-com-media-allowed-paths-that-are-not-intended-for-image-uploads.html

https://vti.huaun.com/watchVul?warnId=20888b7e00494e40a350330b0e848d43

https://nvd.nist.gov/vuln/detail/CVE-2021-23132

 

 

0x04 时间线

2021-03-06  Joomla发布安全公告

2021-03-10  VSRC发布安全通告

 

0x05 附录

 

CVSS评分标准官网:http://www.first.org/cvss/


 


本文始发于微信公众号(维他命安全):Joomla远程代码执行漏洞(CVE-2021-23132)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年3月10日04:34:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Joomla远程代码执行漏洞(CVE-2021-23132)https://cn-sec.com/archives/285486.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息