漏洞预警:joomla,ja-k2-filter-and-search 组件0day 注入漏洞

  • A+
所属分类:安全资讯

漏洞预警:joomla,ja-k2-filter-and-search 组件0day 注入漏洞

近日,国外安全研究员Dimitrios Roussis和 Evangelos Apostoloudis 发现joomla的ja-k2-filter-and-search组件存在SQL注入漏洞。目前,该漏洞还没有在任何国际性的网站上面被发现或发表,此外,组件开发人员也没有被告知这一关键问题。因此,该漏洞被认为是一个0Day。

Joomla是一套获得过多个奖项的内容管理系统(Content Management System,CMS),它采用PHP+MySQL数据库开发,可以运行在Linux、Windows、MacOSX、Solaris等多种平台上。除了具有新闻/文章管理、文档/图片管理、网站布局设置、模板/主题管理等一些基本功能外,还可以通过其提供的上千个插件进行功能扩展。同时它还支持多种语言,由于它的功能非常强大,语言支持强,因此在全世界范围内都有很广泛的应用。

漏洞PoC:

Code
1
/<span class="hljs-keyword">index</span>.php?option=com_jak2filter&searchword=the&xf_2=%27

漏洞预警:joomla,ja-k2-filter-and-search 组件0day 注入漏洞

经漏洞盒子测试:可以看到没有对 “ ’ ” 进行相应的处理,却在“ ) ,- ”等特殊符号前添加了反斜杠,导致该漏洞无法进行深入的利用。

修复方案:

目前官方暂无相关补丁,使用漏洞盒子及网藤风险感知可对风险进行预警与检测。

信息来源:

http://securityaffairs.co/wordpress/52468/hacking/jja-k2-filter-search-joomla.html

https://secnews.gr/149262/joomla-ja-k2-filter-and-search-zero-day/

发表评论

您必须才能发表评论!