阿里云漏洞库

漏洞描述

Joomla!是美国Open Source Matters团队开发的一套开源的内容管理系统(CMS)。

Joomla! 3.7.5及之前版本的系统在开启LDAP认证的情况下存在注入漏洞，该漏洞源于LDAP校验时用到的ldap_search函数未对用户提交的数据进行过滤导致注入，远程攻击者可通过该漏洞获取包括管理员等任意用户的密码。

解决建议

Joomla!官方已经发布了新版本3.8.0解决了该漏洞，请受影响的用户及时下载使用新版本来防护该漏洞：
https://downloads.joomla.org/

参考链接
http://www.securityfocus.com/bid/100898
http://www.securitytracker.com/id/1039407
https://blog.ripstech.com/2017/joomla-takeover-in-20-seconds-with-ldap-inject...
https://developer.joomla.org/security-centre/711-20170902-core-ldap-informati...

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	joomla	joomla!	1.5.0	-
	运行在以下环境
	应用	joomla	joomla!	1.5.1	-
	运行在以下环境
	应用	joomla	joomla!	1.5.10	-
	运行在以下环境
	应用	joomla	joomla!	1.5.11	-
	运行在以下环境
	应用	joomla	joomla!	1.5.12	-
	运行在以下环境
	应用	joomla	joomla!	1.5.13	-
	运行在以下环境
	应用	joomla	joomla!	1.5.14	-
	运行在以下环境
	应用	joomla	joomla!	1.5.15	-
	运行在以下环境
	应用	joomla	joomla!	1.5.16	-
	运行在以下环境
	应用	joomla	joomla!	1.5.17	-
	运行在以下环境
	应用	joomla	joomla!	1.5.18	-
	运行在以下环境
	应用	joomla	joomla!	1.5.19	-
	运行在以下环境
	应用	joomla	joomla!	1.5.2	-
	运行在以下环境
	应用	joomla	joomla!	1.5.20	-
	运行在以下环境
	应用	joomla	joomla!	1.5.21	-
	运行在以下环境
	应用	joomla	joomla!	1.5.22	-
	运行在以下环境
	应用	joomla	joomla!	1.5.23	-
	运行在以下环境
	应用	joomla	joomla!	1.5.24	-
	运行在以下环境
	应用	joomla	joomla!	1.5.25	-
	运行在以下环境
	应用	joomla	joomla!	1.5.26	-
	运行在以下环境
	应用	joomla	joomla!	1.5.3	-
	运行在以下环境
	应用	joomla	joomla!	1.5.4	-
	运行在以下环境
	应用	joomla	joomla!	1.5.5	-
	运行在以下环境
	应用	joomla	joomla!	1.5.6	-
	运行在以下环境
	应用	joomla	joomla!	1.5.7	-
	运行在以下环境
	应用	joomla	joomla!	1.5.8	-
	运行在以下环境
	应用	joomla	joomla!	1.5.9	-
	运行在以下环境
	应用	joomla	joomla!	1.6.0	-
	运行在以下环境
	应用	joomla	joomla!	1.6.1	-
	运行在以下环境
	应用	joomla	joomla!	1.6.2	-
	运行在以下环境
	应用	joomla	joomla!	1.6.3	-
	运行在以下环境
应用	joomla	joomla!	1.6.4	-
运行在以下环境
应用	joomla	joomla!	1.6.5	-
运行在以下环境
应用	joomla	joomla!	1.6.6	-
运行在以下环境
应用	joomla	joomla!	1.7.0	-
运行在以下环境
应用	joomla	joomla!	1.7.1	-
运行在以下环境
应用	joomla	joomla!	1.7.2	-
运行在以下环境
应用	joomla	joomla!	1.7.3	-
运行在以下环境
应用	joomla	joomla!	1.7.4	-
运行在以下环境
应用	joomla	joomla!	1.7.5	-
运行在以下环境
应用	joomla	joomla!	2.5.0	-
运行在以下环境
应用	joomla	joomla!	2.5.1	-
运行在以下环境
应用	joomla	joomla!	2.5.10	-
运行在以下环境
应用	joomla	joomla!	2.5.11	-
运行在以下环境
应用	joomla	joomla!	2.5.12	-
运行在以下环境
应用	joomla	joomla!	2.5.13	-
运行在以下环境
应用	joomla	joomla!	2.5.14	-
运行在以下环境
应用	joomla	joomla!	2.5.15	-
运行在以下环境
应用	joomla	joomla!	2.5.16	-
运行在以下环境
应用	joomla	joomla!	2.5.17	-
运行在以下环境
应用	joomla	joomla!	2.5.18	-
运行在以下环境
应用	joomla	joomla!	2.5.19	-
运行在以下环境
应用	joomla	joomla!	2.5.2	-
运行在以下环境
应用	joomla	joomla!	2.5.20	-
运行在以下环境
应用	joomla	joomla!	2.5.21	-
运行在以下环境
应用	joomla	joomla!	2.5.22	-
运行在以下环境
应用	joomla	joomla!	2.5.23	-
运行在以下环境
应用	joomla	joomla!	2.5.24	-
运行在以下环境
应用	joomla	joomla!	2.5.25	-
运行在以下环境
应用	joomla	joomla!	2.5.26	-
运行在以下环境
应用	joomla	joomla!	2.5.27	-
运行在以下环境
应用	joomla	joomla!	2.5.28	-
运行在以下环境
应用	joomla	joomla!	2.5.3	-
运行在以下环境
应用	joomla	joomla!	2.5.4	-
运行在以下环境
应用	joomla	joomla!	2.5.5	-
运行在以下环境
应用	joomla	joomla!	2.5.6	-
运行在以下环境
应用	joomla	joomla!	2.5.7	-
运行在以下环境
应用	joomla	joomla!	2.5.8	-
运行在以下环境
应用	joomla	joomla!	2.5.9	-
运行在以下环境
应用	joomla	joomla!	3.0.0	-
运行在以下环境
应用	joomla	joomla!	3.0.1	-
运行在以下环境
应用	joomla	joomla!	3.0.2	-
运行在以下环境
应用	joomla	joomla!	3.0.3	-
运行在以下环境
应用	joomla	joomla!	3.0.4	-
运行在以下环境
应用	joomla	joomla!	3.1.0	-
运行在以下环境
应用	joomla	joomla!	3.1.1	-
运行在以下环境
应用	joomla	joomla!	3.1.2	-
运行在以下环境
应用	joomla	joomla!	3.1.3	-
运行在以下环境
应用	joomla	joomla!	3.1.4	-
运行在以下环境
应用	joomla	joomla!	3.1.5	-
运行在以下环境
应用	joomla	joomla!	3.1.6	-
运行在以下环境
应用	joomla	joomla!	3.2.0	-
运行在以下环境
应用	joomla	joomla!	3.2.1	-
运行在以下环境
应用	joomla	joomla!	3.2.2	-
运行在以下环境
应用	joomla	joomla!	3.2.3	-
运行在以下环境
应用	joomla	joomla!	3.2.4	-
运行在以下环境
应用	joomla	joomla!	3.2.5	-
运行在以下环境
应用	joomla	joomla!	3.2.6	-
运行在以下环境
应用	joomla	joomla!	3.2.7	-
运行在以下环境
应用	joomla	joomla!	3.3.0	-
运行在以下环境
应用	joomla	joomla!	3.3.1	-
运行在以下环境
应用	joomla	joomla!	3.3.2	-
运行在以下环境
应用	joomla	joomla!	3.3.3	-
运行在以下环境
应用	joomla	joomla!	3.3.4	-
运行在以下环境
应用	joomla	joomla!	3.3.5	-
运行在以下环境
应用	joomla	joomla!	3.3.6	-
运行在以下环境
应用	joomla	joomla!	3.4.0	-
运行在以下环境
应用	joomla	joomla!	3.4.1	-
运行在以下环境
应用	joomla	joomla!	3.4.2	-
运行在以下环境
应用	joomla	joomla!	3.4.3	-
运行在以下环境
应用	joomla	joomla!	3.4.4	-
运行在以下环境
应用	joomla	joomla!	3.4.5	-
运行在以下环境
应用	joomla	joomla!	3.4.6	-
运行在以下环境
应用	joomla	joomla!	3.4.7	-
运行在以下环境
应用	joomla	joomla!	3.4.8	-
运行在以下环境
应用	joomla	joomla!	3.5.0	-
运行在以下环境
应用	joomla	joomla!	3.5.1	-
运行在以下环境
应用	joomla	joomla!	3.6.0	-
运行在以下环境
应用	joomla	joomla!	3.6.1	-
运行在以下环境
应用	joomla	joomla!	3.6.2	-
运行在以下环境
应用	joomla	joomla!	3.6.3	-
运行在以下环境
应用	joomla	joomla!	3.6.4	-
运行在以下环境
应用	joomla	joomla!	3.6.5	-
运行在以下环境
应用	joomla	joomla!	3.7.0	-
运行在以下环境
应用	joomla	joomla!	3.7.1	-
运行在以下环境
应用	joomla	joomla!	3.7.2	-
运行在以下环境
应用	joomla	joomla!	3.7.3	-
运行在以下环境
应用	joomla	joomla!	3.7.4	-
运行在以下环境
应用	joomla	joomla!	3.7.5	-

攻击路径

远程
攻击复杂度

容易
权限要求

无需权限
影响范围

全局影响
EXP成熟度

POC 已公开
补丁情况

官方补丁
数据保密性

数据泄露
数据完整性

传输被破坏
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型
CWE-90	LDAP查询中使用的特殊元素转义处理不恰当（LDAP注入）

高危 Joomla! LDAP注入漏洞

漏洞描述

解决建议

参考链接

受影响软件情况