行业新闻与博客

Edgescan 今天发布的一项分析显示，内容管理系统 Concrete5 CMS 包含一个主要漏洞，目前已通过更新版本解决。

Edgescan 的高级信息安全顾问 Guram Javakhishvili 透露，Concrete5 具有远程代码评估（RCE），这是一个已知的安全漏洞，如果被利用，“将导致对易受攻击的 Web 应用程序以及托管的 Web 服务器的全面损害。上。”

Concrete5 是一个免费的 CMS 系统，可以创建网站，并以其易用性而闻名。主要组织包括 GlobalSign，美国陆军，REC 和 BASF 使用它。

Javakhishvili 说，RCE 漏洞易于利用，并可以使用户快速获得对应用程序的完全访问权限。在对该程序进行评估期间，Edgescan 发现可以修改站点配置以上传 PHP 文件并执行任意命令。添加后，可以上传潜在的恶意 PHP 代码并执行系统命令。

通过“反向外壳”机制，攻击者可以完全控制 Web 服务器。通过在服务器上执行任意命令，可以损害其完整性，可用性和机密性。此外，然后可以采取措施攻击内部网络上的其他服务器。

Javakhishvili 补充说，在调查之后，Concrete5 现在已经解决了该弱点，并且稳定的固定版本已发布，版本：8.5.4。

Edgescan 的首席执行官 Eoin Keary 评论说：“ RCE 可能导致脆弱的 Web 应用程序以及 Web 服务器的全面损害。Edgescan 2020 漏洞统计报告中，整个堆栈中将近 2％的漏洞归因于 RCE 。在 Edgescan，我们为在识别 Web 应用程序中的漏洞，提醒供应商并支持他们使产品尽可能安全方面所发挥的作用而感到自豪。”

该调查提醒组织采取定期行动以确保其 CMS 系统安全。Edgescan 建议的步骤包括保持已安装的脚本和 CMS 平台为最新，定期备份以及订阅所使用的特定 CMS 的定期更新的漏洞列表。

本文由机器译制