<b id="4f9cw"></b>
    <b id="4f9cw"><dl id="4f9cw"></dl></b>
    1. <video id="4f9cw"></video>

        <source id="4f9cw"><div id="4f9cw"></div></source>
        【漏洞預警】開源內容管理系統GreenCMS爆發漏洞
        時間:2018-06-16來源:點擊:10096分享:
        GreenCMS是綠蔭工作室使用PHP編寫的開源內容管理系統,它基于國內最流行的PHP開發框架ThinkPHP。GreenCMS專注于個人網站和中、小型企業網站的構建,目前在教育行業應用廣泛。GreenCMS基于PHP+MySQL的架構,完全開源,且技術支持完善。

        01 漏洞描述

        背景介紹:

        GreenCMS是綠蔭工作室使用PHP編寫的開源內容管理系統,它基于國內最流行的PHP開發框架ThinkPHP。GreenCMS專注于個人網站和中、小型企業網站的構建,目前在教育行業應用廣泛。GreenCMS基于PHP+MySQL的架構,完全開源,且技術支持完善。

        最近互聯網上被爆出 GreenCMS 存在一個CSRF漏洞,通過該漏洞攻擊者可以創建任意文件GETSHELL。

        漏洞名稱:

        GreenCMS跨站請求偽造

        漏洞編號:

        CVE-2018-11670

        危險等級:

        中危

        漏洞描述:

        GreenCMS在處理后臺敏感操作時,沒有在數據包里添加token或其他用于驗證的屬性,導致攻擊者可以構造惡意表單誘使管理員訪問,以此來達到執行惡意操作的目的。

        影響范圍:

        GreenCMS v2.3.0603及以下版本

        02 修復建議

        1、驗證HTTP Referer字段
        2、在請求地址中添加Token并驗證
        3、在HTTP頭中自定義屬性并驗證

        目前廠商還沒有提供補丁或者升級程序,我們建議使用此軟件的用戶隨時關注廠商的主頁以獲取最新版本:

        https://github.com/GreenCMS/GreenCMS/

        03 天融信解決方案

        天融信針對該漏洞進行了深入研究和分析,并更新了相關防御規則。

        已經購買天融信入侵防御系統(TopIDP)的用戶,可以通過規則庫升級進行有效防護,可根據以下規則編號、規則名稱、CVE編號搜索并制定相應策略。下載地址:

        ftp://ftp.topsec.com.cn/入侵防御(TOP-IDP)/規則庫升級ips-v2018.06.15.tir

        其他用戶請購買并部署天融信入侵防御系統進行防護,聯系電話:400-610-5119、800-810-5119

        QUICK CONTACT
        快捷通道
        產品中心
        解決方案
        安全研究
        技術支持
        關于我們
        被窝福利电影