美國陸軍使用的CMS內容管理系統曝出重大安全漏洞
責編:gltian |2020-08-20 13:58:11安全公司Edgescan今天發布的一項分析報告顯示,內容管理系統Concrete5 CMS包含一個重大漏洞,目前已通過更新版本解決。
Edgescan的高級信息安全顧問Guram Javakhishvili透露,Concrete5存在一個RCE(遠程代碼執行)安全漏洞,被利用后可對Web應用程序以及托管的Web服務器造成全面損害。
Concrete5是一個免費的CMS系統,可以創建網站,并以其易用性而聞名。使用Concrete5的主要組織包括GlobalSign、美國陸軍、REC和BASF等。
Javakhishvili指出,RCE漏洞易于利用,并可以讓攻擊者快速獲得對應用程序的完全訪問權限。在對該程序進行安全評估期間,Edgescan發現可以修改站點配置以上傳PHP文件并執行任意命令。添加后,可以上傳潛在的惡意PHP代碼并執行系統命令。
通過“reverse shell”機制,攻擊者可以完全控制Web服務器,在服務器上執行任意命令,損害其完整性,可用性和機密性。此外,攻擊者接下來還可以攻擊內部網絡上的其他服務器。
Javakhishvili補充說,在調查之后,Concrete5現在已經修補了漏洞,并發布了最新的穩定版本:8.5.4。
Edgescan首席執行官Eoin Keary表示:
RCE可能給脆弱的Web應用程序以及Web服務器的帶來滅頂之災。Edgescan 2020漏洞統計報告中,整個技術堆棧中將近2%的漏洞歸因于RCE 。
該調查提醒各種組織采取定期行動以確保其CMS系統安全。Edgescan建議的步驟包括保持已安裝的腳本和CMS平臺為最新版本,定期備份以及訂閱CMS的定期更新的漏洞列表。