Adobe AEM漏洞导致微软旗下某服务器RCE

你肯定不会相信微软的管理员使用了怎样的密码。

adobe-aem-vulnerability-leads-to-rce-on-microsoft-servers-506958-2

安全研究员Peter Adkins通过利用2015年末爆出的Adobe AEM漏洞,成功获取微软一个服务器的访问权限。

Adkins在工作过程中,发现在2010年买的Adobe AEM(原名CQ5或Communique5)存在漏洞,并且通过该漏洞,他获得了微软一个服务器的访问权限。Adkins的经历证明,在大多数情况下,尤其是在现实世界中,攻击者能够同多钟不同方式获得访问目标服务器的权限。

CVE-2016-0957——Adobe AEM绕过URL过滤

CVE-2016-0957,驻留在分发组件中,包括AEM的CMS中,攻击者通过这个漏洞可以绕过URL过滤,访问被限制的资源。其实发现个漏洞也是巧合,Adkins发现AEM的bug后,把微软账号注销,signout.live.com被重定向到一个占位符页面,发现微软使用了这个CMS的一部分,所以他测试了微软的URL过滤,自然是绕过去了,并且能够访问限制的内容。

微软AEM的管理员admin账户密码竟然是admin

Adkins在微软的Adobe AEM登录界面,测试了admin/admin竟然能够成功登录。登录后台后,他访问了整个CMS,并且能够在微软服务器上加载自己的AEM模块。这个漏洞暴露了Adobe和微软的问题,之后Adobe在二月发布了AEM更新,而微软也在五月发布了AEM的补丁。不幸的是,signout.live.com不在微软bug悬赏列表,Adkins也就不能获取相应的奖金。(小编想说的是,找到bug修复bug才是最开心的。)

adobe-aem-vulnerability-leads-to-rce-on-microsoft-servers-506958-3

*来源:softpedia,转载请注明来自MottoIN

原创文章,作者:SecNews,如若转载,请注明出处:http://www.mottoin.com/news/86184.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code