美国陆军使用的CMS内容管理系统曝出重大安全漏洞
作者:星期三, 八月 19, 20200

安全公司Edgescan今天发布的一项分析报告显示,内容管理系统Concrete5 CMS包含一个重大漏洞,目前已通过更新版本解决。

Edgescan的高级信息安全顾问Guram Javakhishvili透露,Concrete5存在一个RCE(远程代码执行)安全漏洞,被利用后可对Web应用程序以及托管的Web服务器造成全面损害。

Concrete5是一个免费的CMS系统,可以创建网站,并以其易用性而闻名。使用Concrete5的主要组织包括GlobalSign、美国陆军、REC和BASF等。

Javakhishvili指出,RCE漏洞易于利用,并可以让攻击者快速获得对应用程序的完全访问权限。在对该程序进行安全评估期间,Edgescan发现可以修改站点配置以上传PHP文件并执行任意命令。添加后,可以上传潜在的恶意PHP代码并执行系统命令。

通过“reverse shell”机制,攻击者可以完全控制Web服务器,在服务器上执行任意命令,损害其完整性,可用性和机密性。此外,攻击者接下来还可以攻击内部网络上的其他服务器。

Javakhishvili补充说,在调查之后,Concrete5现在已经修补了漏洞,并发布了最新的稳定版本:8.5.4。

Edgescan首席执行官Eoin Keary表示:

RCE可能给脆弱的Web应用程序以及Web服务器的带来灭顶之灾。Edgescan 2020漏洞统计报告中,整个技术堆栈中将近2%的漏洞归因于RCE 。

该调查提醒各种组织采取定期行动以确保其CMS系统安全。Edgescan建议的步骤包括保持已安装的脚本和CMS平台为最新版本,定期备份以及订阅CMS的定期更新的漏洞列表。

相关阅读

全球两大开源CMS曝漏洞 6千万网站面临DoS威胁

应用安全调查:半数企业有意识发布有漏洞代码

黑帽大会Web安全热点:Meetup曝出两大高危漏洞

 

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章