安全公告编号:CNTA-2017-0041

近日，国家信息安全漏洞共享平台（CNVD）收录了Joomla! com_fields组件存在的SQL注入漏洞（CNVD-2017-06861、对应CVE-2017-8917）。远程攻击者无需任何身份认证，可获取数据库敏感信息，包括管理员登录信息并控制网站后台。

一、漏洞情况分析

Joomla!是一套基于PHP的开源内容管理系统(CMS)。可用于搭建商业网站、个人博客、信息管理系统、Web服务等，还可进行二次开发以扩充使用范围。

“com_fields”是Joomla! 3.7.0版本中引入的一个新的组件，在该组件的.MarchModelFields模型下的 ./administrator/components/com_fields/models/fields.php文件中,有一个getListQuery方法对用户输入传入到list.fullordering未进行有效过滤，攻击者利用该漏洞不需要任何身份认证，通过给URL添加适当的参数（/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=），注入嵌套的SQL查询即可获取数据库敏感信息。

CNVD对该漏洞的综合评级均为“高危”。

二、漏洞影响范围

漏洞影响Joomla! 3.7.0版本，由于存在漏洞的是Joomla!核心组件，采用该版本的网站服务器均受漏洞影响。根据CNVD秘书处对Joomla!应用情况的普查（暂不区分具体版本），互联网上约有43万台网站服务器部署应用Joomla!。按国家和地区分布，美国、德国、中国位居前三，分别占比56.5%、4.9%、4.3%；按容器软件类型区分，Apache约占60.7%，Nginx约占25.6%，IIS约占2.7%，其他未知容器软件约占11%。目前3.7版本比例占比较少，但随着用户后续升级，有可能进一步增加数量。

三、漏洞修复建议

厂商已发布了漏洞修复方案，用户可将程序升级至3.7.1版本：

https://downloads.joomla.org/cms/joomla3/3-7-1

附：参考链接：

https://blog.sucuri.net/2017/05/sql-injection-vulnerability-joomla-3-7.html

http://www.cnvd.org.cn/flaw/show/CNVD-2017-06861

注：CNVD技术组成员单位知道创宇公司及时报告了部分分析情况。