永久五行公式公式规律
【漏洞預警】開源內容管理系統GreenCMS爆發漏洞
時間:2018-06-16來源:點擊:7697分享:
GreenCMS是綠蔭工作室使用PHP編寫的開源內容管理系統,它基于國內最流行的PHP開發框架ThinkPHP。GreenCMS專注于個人網站和中、小型企業網站的構建,目前在教育行業應用廣泛。GreenCMS基于PHP+MySQL的架構,完全開源,且技術支持完善。

01 漏洞描述

背景介紹:

GreenCMS是綠蔭工作室使用PHP編寫的開源內容管理系統,它基于國內最流行的PHP開發框架ThinkPHP。GreenCMS專注于個人網站和中、小型企業網站的構建,目前在教育行業應用廣泛。GreenCMS基于PHP+MySQL的架構,完全開源,且技術支持完善。

最近互聯網上被爆出 GreenCMS 存在一個CSRF漏洞,通過該漏洞攻擊者可以創建任意文件GETSHELL。

漏洞名稱:

GreenCMS跨站請求偽造

漏洞編號:

CVE-2018-11670

危險等級:

中危

漏洞描述:

GreenCMS在處理后臺敏感操作時,沒有在數據包里添加token或其他用于驗證的屬性,導致攻擊者可以構造惡意表單誘使管理員訪問,以此來達到執行惡意操作的目的。

影響范圍:

GreenCMS v2.3.0603及以下版本

02 修復建議

1、驗證HTTP Referer字段
2、在請求地址中添加Token并驗證
3、在HTTP頭中自定義屬性并驗證

目前廠商還沒有提供補丁或者升級程序,我們建議使用此軟件的用戶隨時關注廠商的主頁以獲取最新版本:

https://github.com/GreenCMS/GreenCMS/

03 天融信解決方案

天融信針對該漏洞進行了深入研究和分析,并更新了相關防御規則。

已經購買天融信入侵防御系統(TopIDP)的用戶,可以通過規則庫升級進行有效防護,可根據以下規則編號、規則名稱、CVE編號搜索并制定相應策略。下載地址:

ftp://ftp.topsec.com.cn/入侵防御(TOP-IDP)/規則庫升級ips-v2018.06.15.tir

其他用戶請購買并部署天融信入侵防御系統進行防護,聯系電話:400-610-5119、800-810-5119

QUICK CONTACT
快捷通道
產品中心
解決方案
安全研究
技術支持
關于我們
永久五行公式公式规律 重庆时时彩视频开奖结果 湖北快3官方免费下载 黑马收费计划怎么样 百乐门游戏平台 2017北京pk10直播视频 包7肖如何赚钱 爱流量是通过什么方法赚钱的 极速11选5技巧 北京pk赛车稳赚技巧视频 pk10长期稳赚8码技巧