joomla反序列化远程命令执行漏洞

 解释“反序列化”:

当两个进程在进行远程通信时,彼此可以发送各种类型的数据。无论是何种类型的数据,都会以二进制序列的形式在网络上传送。发送方需要把这个对象转换为字节序列,才能在网络上传送;接收方则需要把字节序列再恢复为对象。 把对象转换为字节序列的过程称为对象的序列化。 把字节序列恢复为对象的过程称为对象的反序列化

这个是Joomla发现的已知漏洞,Joomla代码不严谨可直接执行PHP代码,黑客可用于入侵网站。受影响的Joomla版本包括3.4.5及其以下的所有版本。所以这是一个非常新的漏洞发现,还好我们创建3.4以后的网站安全性和稳定性都有一定保障,还未出现此类问题。但是,处于严禁的做事方式,还是要进行漏洞排除。

修复方案:将Joomla版本升级为3.4.6即可。 提示:记得在任何Joomla版本更新前做好网站备份

 

Joomla! 最新版下载 3.4.6

六艺Joomla网站定制,专注Joomla解决方案!