频道栏目
首页 > 资讯 > 安全公告 > 正文

joomla,ja-k2-filter-and-search 组件0day 注入漏洞

16-10-22        来源:[db:作者]  
收藏   我要投稿

近日,国外安全研究员Dimitrios Roussis和 Evangelos Apostoloudis 发现joomla的ja-k2-filter-and-search组件存在SQL注入漏洞。目前,该漏洞还没有在任何国际性的网站上面被发现或发表,此外,组件开发人员也没有被告知这一关键问题。因此,该漏洞被认为是一个0Day。

Joomla是一套获得过多个奖项的内容管理系统(Content Management System,CMS),它采用PHP+MySQL数据库开发,可以运行在Linux、Windows、MacOSX、Solaris等多种平台上。除了具有新闻/文章管理、文档/图片管理、网站布局设置、模板/主题管理等一些基本功能外,还可以通过其提供的上千个插件进行功能扩展。同时它还支持多种语言,由于它的功能非常强大,语言支持强,因此在全世界范围内都有很广泛的应用。

漏洞PoC:

/index.php?option=com_jak2filter&searchword=the&xf_2=%27

 

经漏洞盒子测试:可以看到没有对 “ ’ ” 进行相应的处理,却在“ ) ,- ”等特殊符号前添加了反斜杠,导致该漏洞无法进行深入的利用。

修复方案:

目前官方暂无相关补丁,使用漏洞盒子及网藤风险感知可对风险进行预警与检测。

相关TAG标签
上一篇:查看excel表格中任意一网页中的数据的方法
下一篇:给wps文件添加背景音乐的步骤
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站