美国陆军使用的CMS内容管理系统曝出重大安全漏洞

安全公司Edgescan今天发布的一项分析报告显示，内容管理系统Concrete5 CMS包含一个重大漏洞，目前已通过更新版本解决。

Edgescan的高级信息安全顾问Guram Javakhishvili透露，Concrete5存在一个RCE（远程代码执行）安全漏洞，被利用后可对Web应用程序以及托管的Web服务器造成全面损害。

Concrete5是一个免费的CMS系统，可以创建网站，并以其易用性而闻名。使用Concrete5的主要组织包括GlobalSign、美国陆军、REC和BASF等。

Javakhishvili指出，RCE漏洞易于利用，并可以让攻击者快速获得对应用程序的完全访问权限。在对该程序进行安全评估期间，Edgescan发现可以修改站点配置以上传PHP文件并执行任意命令。添加后，可以上传潜在的恶意PHP代码并执行系统命令。

通过“reverse shell”机制，攻击者可以完全控制Web服务器,在服务器上执行任意命令，损害其完整性，可用性和机密性。此外，攻击者接下来还可以攻击内部网络上的其他服务器。

Javakhishvili补充说，在调查之后，Concrete5现在已经修补了漏洞，并发布了最新的稳定版本：8.5.4。

Edgescan首席执行官Eoin Keary表示：

RCE可能给脆弱的Web应用程序以及Web服务器的带来灭顶之灾。Edgescan 2020漏洞统计报告中，整个技术堆栈中将近2％的漏洞归因于RCE 。

该调查提醒各种组织采取定期行动以确保其CMS系统安全。Edgescan建议的步骤包括保持已安装的脚本和CMS平台为最新版本，定期备份以及订阅CMS的定期更新的漏洞列表。