阿里云漏洞库
高危漏洞
CVE 漏洞库
非CVE漏洞库
安全社区
搜索
NVD
Web应用
CVE-2017-8917
严重
Joomla CMS 3.7.0 SQL注入
CVE编号
CVE-2017-8917
利用情况
POC 已公开
补丁情况
官方补丁
披露时间
2017-05-18
漏洞描述
Joomla!是美国Open Source Matters团队的一套使用PHP和MySQL开发的开源、跨平台的内容管理系统(CMS)。
Joomla! 3.7.0版本中的com_fields组件存在SQL注入漏洞,远程攻击者无需任何身份认证,可获取数据库敏感信息,包括管理员登录信息并控制网站后台。
解决建议
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:
https://downloads.joomla.org/cms/joomla3/3-7-1
参考链接
http://www.securityfocus.com/bid/98515
http://www.securitytracker.com/id/1038522
https://developer.joomla.org/security-centre/692-20170501-core-sql-injection.html
https://www.exploit-db.com/exploits/42033/
https://www.exploit-db.com/exploits/44358/
受影响软件情况
#
类型
厂商
产品
版本
影响面
1
运行在以下环境
应用
joomla
joomla!
3.7.0
-
阿里云评分
9.1
攻击路径
远程
攻击复杂度
容易
权限要求
无需权限
影响范围
全局影响
EXP成熟度
POC 已公开
补丁情况
官方补丁
数据保密性
数据泄露
数据完整性
传输被破坏
服务器危害
服务器失陷
全网数量
N/A
CWE-ID
漏洞类型
CWE-89
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
阿里云安全产品覆盖情况
云安全中心
WAF
云防火墙
RASP
Exp相关链接
×
https://github.com/brianwrf/Joomla3.7-SQLi-CVE-2017-8917
https://github.com/cved-sources/cve-2017-8917
https://github.com/stefanlucas/Exploit-Joomla
https://github.com/vulhub/vulhub/tree/master/joomla/CVE-2017-8917
https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/unix/webapp/joomla_comfields_sqli_rce.rb
https://www.exploit-db.com/exploits/42033
https://www.exploit-db.com/exploits/44358