一、概要

近日，華為云安全團(tuán)隊(duì)關(guān)注到知名的Joomla CMS 系統(tǒng)在3.0.0～3.4.6版本中存在遠(yuǎn)程代碼執(zhí)行漏洞。攻擊者通過(guò)精心構(gòu)造的請(qǐng)求包，通過(guò)PHP對(duì)象注入可實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行攻擊。目前漏洞利用代碼已公布，風(fēng)險(xiǎn)高，請(qǐng)使用Joomla的用戶及時(shí)安排自檢并升級(jí)至安全版本。

參考鏈接：

https://blog.hacktivesecurity.com/index.php?controller=post&action=view&id_post=41

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說(shuō)明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急）

三、影響范圍

受影響版本：

Joomla 3.0.0 ~ 3.4.6

安全版本：

Joomla >= 3.4.7

四、處置方案

目前官方已在3.4.7及以上版本中修復(fù)了該漏洞，請(qǐng)受影響的Joomla用戶及時(shí)升級(jí)至安全版本規(guī)避風(fēng)險(xiǎn)。

下載地址：https://github.com/joomla/joomla-cms/releases

注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。