基于 PHP 的開源內(nèi)容管理系統(tǒng)（CMS）Microweber 中存在一個(gè)嚴(yán)重的安全漏洞，泄露容易破解的管理員憑據(jù)和大量其他的用戶信息。

　　用于訪問該 CMS 的密碼采用 bcrypt 進(jìn)行哈希加密，但是“這些哈希在默認(rèn)的配置中可被 Hashcat 破解，導(dǎo)致攻擊者可獲取管理員密碼”，Rhino Security Labs 的滲透測試人員 Hunter Stanton 說到。

　　在 Microweber 背后的團(tuán)隊(duì)修復(fù)該漏洞后，建議 web 管理員盡快更新他們的 Micorweber builds。

　　自 2015 年啟動以來，Microweber 已被下載超過 71 000 次。

　　Stanton 解釋稱，該 pre-auth 漏洞（CVE-2020-13405）存在于 controller.php 腳本中，Microweber 開發(fā)人員說該腳本是從早期 Microweber 開發(fā)留下的。

　　該腳本在用戶數(shù)據(jù)庫上運(yùn)行 Laravel 的‘dump and die’函數(shù)，在停止執(zhí)行該腳本之前，該函數(shù)將整個(gè) PHP 變量的內(nèi)容打印出來給 HTML，該名研究人員在一篇博文中解釋道。

　　攻擊者可通過向/modules/終端發(fā)送 POST 請求 module=/modules/users/controller 未經(jīng)身份認(rèn)證利用該漏洞。

　　該請求會執(zhí)行 controller.php 腳本，在響應(yīng)中生成整個(gè)用戶數(shù)據(jù)庫。

　　Web 管理員使用 PHP 腳本，通過插入自己的腳本或修改已有的腳本，自定義該 CMS。

　　他們可以使用現(xiàn)成的模塊或編寫自己的模塊，執(zhí)行嵌入 Tweets 或添加搜索工具等功能。

　　Rhino Security Labs 于 4 月 27 日向 Microweber 披露了該漏洞。

　　該項(xiàng)目的維護(hù)人員于 5 月 22 日確認(rèn)了該漏洞，并在 6 月 22 日發(fā)布了 Microweber 1.1.20 版本，該版本從源代碼中移除了 controller.php。

　　---------------------------

　　本文源自 Port Swigger；轉(zhuǎn)載請注明出處。

總結(jié)

以上是生活随笔為你收集整理的Microweber CMS严重漏洞可致管理员密码泄露的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。