sunny
VIP Members
-
30/06/2014
-
870
-
1.849 bài viết
Lỗ hổng thực thi code từ xa trên Concrete5
Các phiên bản cũ của hệ thống quản lý nội dung mã nguồn mở Concrete 5 tồn tại nhiều lỗ hổng an ninh, một trong số đó là lỗi cho phép hacker có thể thực thi mã PHP từ xa.
Nhà nghiên cứu Egidio Romano đã tìm ra lỗi này trong bản code 5.7.3.1, và đưa ra cáo buộc có thể những phiên bản trước đó cũng đã tồn tại lỗ hổng này.
Việc khai thác lỗ hổng có thể được các quản trị viên xác thực tiến hành, vì vậy yêu cầu kỹ thuật social engineering để thu hút người dùng với đặc quyền cần thiết truy cập website và click vào link độc nhằm thực hiện tấn công CSRF.
Quản trị web nên cài đặt phiên bản Concrete 5 mới nhất
Nhà nghiên cứu phát hiện nhiều hơn 2 lỗi trên CMS, một lỗi SQL injection ảnh hưởng tới phiên bản 5.7.4 và các phiên bản trước đó. Trong trường hợp này, việc khai thác yêu cần phải có tài khoản với quyền biên tập nội dung trang web.
Cả 2 lỗ hổng này cùng với hàng loạt lỗ hổng XSS đã được khắc phục trong Concrete5 phiên bản 5.7.4.2. Tuy nhiên, quản trị site thường không cập nhật lên phiên bản mới nhất.
Mặc dù đây không phải là những lỗi dễ khai thác, tuy nhiên nếu kẻ tấn công có động cơ sẽ cố gắng tìm cách thực hiện tấn công.
Trong số các website phổ biến dùng nền tảng CMS này có website của đại học Cambridge (cambridge.org), Freshdesk, nền tảng hỗ trợ khách hàng dựa trên điện toán đám mây, và website của hãng hàng không Philippine.
Nguồn: Softpedia
Nhà nghiên cứu Egidio Romano đã tìm ra lỗi này trong bản code 5.7.3.1, và đưa ra cáo buộc có thể những phiên bản trước đó cũng đã tồn tại lỗ hổng này.
Việc khai thác lỗ hổng có thể được các quản trị viên xác thực tiến hành, vì vậy yêu cầu kỹ thuật social engineering để thu hút người dùng với đặc quyền cần thiết truy cập website và click vào link độc nhằm thực hiện tấn công CSRF.
Quản trị web nên cài đặt phiên bản Concrete 5 mới nhất
Nhà nghiên cứu phát hiện nhiều hơn 2 lỗi trên CMS, một lỗi SQL injection ảnh hưởng tới phiên bản 5.7.4 và các phiên bản trước đó. Trong trường hợp này, việc khai thác yêu cần phải có tài khoản với quyền biên tập nội dung trang web.
Cả 2 lỗ hổng này cùng với hàng loạt lỗ hổng XSS đã được khắc phục trong Concrete5 phiên bản 5.7.4.2. Tuy nhiên, quản trị site thường không cập nhật lên phiên bản mới nhất.
Mặc dù đây không phải là những lỗi dễ khai thác, tuy nhiên nếu kẻ tấn công có động cơ sẽ cố gắng tìm cách thực hiện tấn công.
Trong số các website phổ biến dùng nền tảng CMS này có website của đại học Cambridge (cambridge.org), Freshdesk, nền tảng hỗ trợ khách hàng dựa trên điện toán đám mây, và website của hãng hàng không Philippine.
Nguồn: Softpedia