美國陸軍使用的CMS內容管理系統(tǒng)曝出重大安全漏洞
責編:gltian |2020-08-20 13:58:11安全公司Edgescan今天發(fā)布的一項分析報告顯示,內容管理系統(tǒng)Concrete5 CMS包含一個重大漏洞,目前已通過更新版本解決。
Edgescan的高級信息安全顧問Guram Javakhishvili透露,Concrete5存在一個RCE(遠程代碼執(zhí)行)安全漏洞,被利用后可對Web應用程序以及托管的Web服務器造成全面損害。
Concrete5是一個免費的CMS系統(tǒng),可以創(chuàng)建網站,并以其易用性而聞名。使用Concrete5的主要組織包括GlobalSign、美國陸軍、REC和BASF等。
Javakhishvili指出,RCE漏洞易于利用,并可以讓攻擊者快速獲得對應用程序的完全訪問權限。在對該程序進行安全評估期間,Edgescan發(fā)現(xiàn)可以修改站點配置以上傳PHP文件并執(zhí)行任意命令。添加后,可以上傳潛在的惡意PHP代碼并執(zhí)行系統(tǒng)命令。
通過“reverse shell”機制,攻擊者可以完全控制Web服務器,在服務器上執(zhí)行任意命令,損害其完整性,可用性和機密性。此外,攻擊者接下來還可以攻擊內部網絡上的其他服務器。
Javakhishvili補充說,在調查之后,Concrete5現(xiàn)在已經修補了漏洞,并發(fā)布了最新的穩(wěn)定版本:8.5.4。
Edgescan首席執(zhí)行官Eoin Keary表示:
RCE可能給脆弱的Web應用程序以及Web服務器的帶來滅頂之災。Edgescan 2020漏洞統(tǒng)計報告中,整個技術堆棧中將近2%的漏洞歸因于RCE 。
該調查提醒各種組織采取定期行動以確保其CMS系統(tǒng)安全。Edgescan建議的步驟包括保持已安裝的腳本和CMS平臺為最新版本,定期備份以及訂閱CMS的定期更新的漏洞列表。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據要素安全流通的機制與技術
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網可信交易技術與應用白皮書
- 美國美中委員會發(fā)布DeepSeek調查報告
- 2024年中國網絡與信息法治建設回顧