漏洞信息详情

concrete5 安全漏洞

• CNNVD编号：CNNVD-201802-642
• 危害等级： 中危
  
• CVE编号： CVE-2017-18195
• 漏洞类型： 输入验证错误
• 发布时间： 2018-02-27
• 威胁类型： 远程
• 更新时间： 2021-11-02
• 厂        商： concrete5
• 漏洞来源： Chapman Schleiss

漏洞简介

concrete5是美国Portland实验室开发的一套免费的内容管理系统（CMS）。该系统可直接在页面上编辑、排版。

concrete5 8.3.0之前版本中的tools/conversations/view_ajax.php文件存在安全漏洞。攻击者可通过向/index.php/tools/required/conversations/view_ajax发送post请求利用该漏洞从所有的博客帖子中枚举用户。

漏洞公告

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://github.com/concrete5/concrete5/releases/tag/8.3.0

参考网址

来源:MISC

链接:https://github.com/concrete5/concrete5/pull/6008/files

来源:http-vuln-cve2017-18195.nse

链接:http-vuln-cve2017-18195.nse

来源:MISC

链接:https://github.com/r3naissance/NSE/blob/master/

来源:EXPLOIT-DB

链接:https://www.exploit-db.com/exploits/44194/

来源:MISC

链接:https://github.com/concrete5/concrete5/releases/tag/8.3.0

来源:cxsecurity.com

链接:https://cxsecurity.com/issue/WLB-2018020297

受影响实体

• Concrete5 Concrete5:8.2.1  

补丁

• concrete5 安全漏洞的修复措施