漏洞信息详情

Joomla! ‘media.php’任意文件上传漏洞

  • CNNVD编号:CNNVD-201308-029
  • 危害等级: 中危
  • CVE编号: CVE-2013-5576
  • 漏洞类型: 输入验证
  • 发布时间: 2013-08-05
  • 威胁类型: 远程
  • 更新时间: 2013-10-10
  • 厂        商: joomla
  • 漏洞来源: Jens Hinrichsen

漏洞简介

Joomla!是美国Open Source Matters团队的一套使用PHP和MySQL开发的开源、跨平台的内容管理系统(CMS)。

Joomla! 2.5.14之前的2.5.x版本和3.1.5之前的3.x版本中的媒体管理器中的administrator/components/com_media/helpers/media.php文件中存在安全漏洞。远程经过授权的用户或远程攻击者可借助尾部以‘.’命名的文件名,利用该漏洞绕过既定的访问限制,上传带有恶意扩展的文件。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:

http://developer.joomla.org/security/563-20130801-core-unauthorised-uploads.html

参考网址

来源: github.com

链接:https://github.com/joomla/joomla-cms/commit/fa5645208eefd70f521cd2e4d53d5378622133d8

来源: github.com

链接:https://github.com/joomla/joomla-cms/commit/1ed07e257a2c0794ba19e864f7c5101e7e8c41d2

来源: EXPLOIT-DB

名称: 27610

链接:http://www.exploit-db.com/exploits/27610

来源: www.cso.com.au

链接:http://www.cso.com.au/article/523528/joomla_patches_file_manager_vulnerability_responsible_hijacked_websites/

来源: MLIST

名称: [oss-security] 20130824 Re: CVE request: Joomla unauthorised uploads before 2.5.14 / 3.1.5

链接:http://seclists.org/oss-sec/2013/q3/486

来源: MLIST

名称: [oss-security] 20130824 CVE request: Joomla unauthorised uploads before 2.5.14 / 3.1.5

链接:http://seclists.org/oss-sec/2013/q3/484

来源: joomlacode.org

链接:http://joomlacode.org/gf/project/joomla/tracker/?action=TrackerItemEdit&tracker_item_id=31626

来源: developer.joomla.org

链接:http://developer.joomla.org/security/563-20130801-core-unauthorised-uploads.html

来源: BID

名称: 61582

链接:http://www.securityfocus.com/bid/61582

漏洞信息快速查询

相关漏洞

更多