近期,国家信息安全漏洞共享平台(CNVD)收录了TurboCMS Java内容管理系统的四个安全漏洞(CNVD-2011-05699、CNVD-2011-05700、CNVD-2011-05701、CNVD-2011-05702)。根据中国电力科学研究院信息安全实验室报送的情况,漏洞可被利用发起钓鱼攻击或窃取敏感信息,严重的可被利用获得系统管理员权限及网站管理控制权限。相关情况通报如下:
一、漏洞情况分析
TurboCMS Java内容管理系统由北京泰得文通科技有限公司(简称泰得文通公司)生产,用于构建企业级网站信息系统。此次被披露存在的四个安全漏洞,分别为:特权提升漏洞(CNVD-2011-05699)、文件上传漏洞(CNVD-2011-05700)、SQL注入漏洞(CNVD-2011-05701)和跨站脚本漏洞(CNVD-2011-05702)。
漏洞形成的原因及造成的危害分别如下:
(1)特权提升漏洞是由于一些设计为系统管理员访问的特权页面未进行用户权限二次判断,普通用户在知晓特权地址的情况下可在浏览器直接访问,执行系统管理员权限的操作;
(2)上传漏洞是系统中一些模板导入页面其上传功能模块未对上传文件类型进行判断,可以上传特定构造的网页木马文件,进而取得网站系统的管理控制权限;
(3)SQL注入漏洞是系统的日志查询页面未对查询字符进行严格过滤,可发起典型的SQL注入攻击,获得后台数据库敏感信息;
(4)跨站脚本漏洞是系统的频道高级查询模块对用户输入内容未做合法性验证,可直接运行嵌入Javascript脚本,进行跨站攻击。
二、漏洞影响范围
受影响的版本为TurboCMS Java内容管理系统2009 (Build 6005)。根据泰得文通公司提供的客户信息,一些中央企业、电力系统单位、地方政府部门和金融机构采用了该版本软件。不过,根据CNVD检测结果以及泰得文通公司提供的项目实施情况,上述部门对其系统后台访问权限均进行了限制,未对互联网用户开放,暂未发现可利用的攻击入口。
CNVD对“特权提升漏洞”、“文件上传漏洞”和“SQL注入漏洞”的综合评级为“高危”,对“跨站脚本漏洞”的综合评级为“中危”。
三、漏洞处置建议
CNVD于6月中旬联系泰得文通公司,协商处置流程如下:
(一)预计于6月底发布文件上传漏洞、SQL注入漏洞和跨站脚本漏洞等三个漏洞的升级补丁,于7月中旬发布特权提升漏洞的升级补丁。
(二)补丁发布后,泰得文通公司将主动联系相关用户,做好网站系统加固升级工作。
在补丁发布前,建议相关单位加强内部用户访问情况的审计,防范可能存在的内部攻击或通过内部局域网发起的跳板攻击情况。
CNVD将持续跟踪漏洞处置情况,如需技术支援,请联系CNVD。联系电话:010-82990286,邮箱:vreport@cert.org.cn,网站: www.cnvd.org.cn。