Joomla!3.4.4 < 3.6.4の複数の脆弱性

critical Nessus プラグイン ID 94355

Language:

概要

リモートのWebサーバーは、複数の脆弱性の影響を受けるPHPアプリケーションが含まれています。

説明

自己報告されたバージョン番号によると、リモートのWebサーバーで実行されているJoomla!インストールのバージョンは、3.4.4以降ですが3.6.4より前です。したがって、以下の複数の脆弱性の影響を受けます。- フィルタリングされていないデータが不適切に処理されているため、権限昇格の脆弱性がJoomla!のコアユーザー登録コンポーネントにあります。認証されていないリモートの攻撃者がこれを悪用し、特別に細工されたリクエストを介して昇格した権限を持つアカウントをJoomla!サイトに登録する可能性があります。（CVE-2016-8869）- ユーザー登録が無効かどうかのチェックが不十分であるためJoomla!のコアユーザー登録コンポーネントにセキュリティをバイパスする脆弱性があります。認証されていないリモートの攻撃者がこれを悪用し、特別に細工されたリクエストを介して、アカウント登録が無効になっている場合でもJoomla!サイトにアカウントを登録する可能性があります。（CVE-2016-8870）- フィルタリングされていないデータが不適切に処理されているため、Joomla!のコアユーザー修正コンポーネントに欠陥があります。攻撃者はこれを悪用し、既存のユーザーアカウントのユーザー名、パスワード、ユーザーグループを変更する可能性があります。（CVE-2016-9081）Nessusはこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。