基于PHP的开源内容管理系统(CMS)Microweber中存在一个严重的安全漏洞,泄露容易破解的管理员凭据和大量其他的用户信息。 用于访问该CMS的密码采用bcrypt进行哈希加密,但是“这些哈希在默认的配置中可被Hashcat破解,导致攻击者可获取管理员密码”,Rhino Security Labs的渗透测试人员Hunter Stanton说到。 在Microweber背后的团队修复该漏洞后,建议web管理员尽快更新他们的Micorweber builds。 自2015年启动以来,Microweber已被下载超过71 000次。 Stanton解释称,该pre-auth漏洞(CVE-2020-13405)存在于controller.



Source link

You must be logged in to post a comment.