[重要通知] 【安全预警】关于Joomla!3.7.0 Core SQL注入漏洞通知

360网站管家

[重要通知] 【安全预警】关于Joomla!3.7.0 Core SQL注入漏洞通知


您好，知名内容管理系统 Joomla! 3.7.0被曝高危安全漏洞，攻击者可利用该漏洞进行SQL 注入攻击，被攻击后可导致您数据库中的敏感信息泄露，目前已有公开可利用的代码（PoC）。

为避免您的业务受影响，建议您及时关注并开展自查，如在受影响版本范围内，请及时开展防护和修复工作。

【漏洞概述】
知名内容管理系统 Joomla! 3.7.0被曝高危安全漏洞， Joomla!新引入的组件“com_fields”无登陆验证且在对请求数据过滤不严导致SQL 注入漏洞，被利用可导致数据库中的敏感信息泄漏，如用户的密码hash以及登陆后的用户的session（如果是获取到登陆后管理员的session，攻击者可控制网站后台系统）。

【风险等级】
   高风险

【漏洞风险】
   敏感信息泄漏

【影响版本】
   Joomla! 3.7.0 Core

【修复建议】

  升级最新版安装包以及升级补丁包，下载地址：https://downloads.joomla.org/cms/joomla3/3-7-1

【漏洞参考】
1）https://www.joomla.org/announcements/release-news/5705-joomla-3-7-1-release.html
2）https://blog.sucuri.net/2017/05/sql-injection-vulnerability-joomla-3-7.html