当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

Joomla! \'media.php\'任意文件上传漏洞

     发表日期:2014-12-05 11:07:27

Joomla! \'media.php\'任意文件上传漏洞

BugTraq-ID:61582

CVE-ID:CVE-2013-5576

发布日期:2013-08-01

更新日期:2013-08-01

受影响系统:

Joomla! Joomla! < 3.1.5

Joomla! Joomla! < 2.5.14

详细信息:

Joomla!是一款开放源码的内容管理系统(CMS)。 Joomla! 2.5.14之前版本、3.1.5之前版本,媒体管理器中的administrator/components/com_media/helpers/media.php存在安全漏洞,远程攻击者通过带"."的文件名,利用此漏洞可绕过访问限制并上传恶意扩展名的文件。

来源:

Jens Hinrichsen

测试方法:

警告以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

http://www.securityfocus.com/data/vulnerabilities/exploits/61582.rb

解决办法:

厂商补丁:

Joomla!

-------

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://developer.joomla.org/security/563-20130801-core-unauthorised-uploads.html https://github.com/joomla/joomla-cms/commit/1ed07e257a2c0794ba19e864f7c5101e7e8c41d2 https://github.com/joomla/joomla-cms/commit/fa5645208eefd70f521cd2e4d53d5378622133d8