首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

美国陆军使用的CMS内容管理系统曝出重大安全漏洞

安全公司Edgescan今天发布的一项分析报告显示,内容管理系统Concrete5 CMS包含一个重大漏洞,目前已通过更新版本解决。

Edgescan的高级信息安全顾问Guram Javakhishvili透露,Concrete5存在一个RCE(远程代码执行)安全漏洞,被利用后可对Web应用程序以及托管的Web服务器造成全面损害。”

Concrete5是一个免费的CMS系统,可以创建网站,并以其易用性而闻名。使用Concrete5的主要组织包括GlobalSign、美国陆军、REC和BASF等。

Javakhishvili指出,RCE漏洞易于利用,并可以让攻击者快速获得对应用程序的完全访问权限。在对该程序进行安全评估期间,Edgescan发现可以修改站点配置以上传PHP文件并执行任意命令。添加后,可以上传潜在的恶意PHP代码并执行系统命令。

通过“reverse shell”机制,攻击者可以完全控制Web服务器,在服务器上执行任意命令,损害其完整性,可用性和机密性。此外,攻击者接下来还可以攻击内部网络上的其他服务器。

Javakhishvili补充说,在调查之后,Concrete5现在已经修补了漏洞,并发布了最新的稳定版本:8.5.4。

Edgescan首席执行官Eoin Keary表示:

RCE可能给脆弱的Web应用程序以及Web服务器的带来灭顶之灾。Edgescan 2020漏洞统计报告中,整个技术堆栈中将近2%的漏洞归因于RCE 。

该调查提醒各种组织采取定期行动以确保其CMS系统安全。Edgescan建议的步骤包括保持已安装的脚本和CMS平台为最新版本,定期备份以及订阅CMS的定期更新的漏洞列表。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20200819A08K5100?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券