最新Joomla 3.7.1版本修补了关键的SQL注入攻击

据报道，全球第二大流行的开源内容管理系统Joomla修补了其软件核心组件中的一个关键漏洞。

强烈建议网站管理员立即安装今天发布的最新Joomla版本3.7.1，以修补仅影响Joomla版本3.7.0的关键SQL注入漏洞（CVE-2017-8917）。
请求数据过滤不充分会导致SQL注入漏洞发布说明说。

Sucuri的安全研究员Marc Alexandre Montpas上周向该公司报告了Joomla 3.7.0中的SQL注入漏洞。

据该研究人员称该漏洞易于利用，不需要受害者网站上的特权帐户“这可能会让远程黑客从数据库中窃取敏感信息，并获得对网站的未经授权访问。
SQL注入漏洞源于3.7版中引入的com_fields参数。

 

"因此，为了利用此漏洞，攻击者所要做的就是向URL添加适当的参数，以便注入嵌套的SQL查询。“研究人员说。

Joomla 3.7.0概念验证利用：

https://target-joomla-website.com/index.php?option=com_fields&视图=字段；布局=模态；list[fullordering]=updatexml（1，concat（0x3e，user（）），0）

由于黑客不会花太多时间利用此漏洞攻击数以百万计的网站，因此建议您为您的网站下载最新版本的Joomla，并将关键补丁更新的发布通知其他人。