股票代码:688225
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
警惕!Joomla未授权访问漏洞风险通告
发布时间 :2023年02月22日
类型 :勒索软件
分(fēn)享:
近日,亚信安(ān)全CERT监测到Joomla发布安(ān)全通告,修复了Joomla中(zhōng)的一个未授权访问漏洞(CVE-2023-23752)。该漏洞源于程序对Web服務(wù)端点的访问限制不严格,导致未经身份认证的攻击者可(kě)以遠(yuǎn)程利用(yòng)此漏洞访问服務(wù)器REST API接口,获取服務(wù)器敏感信息。目前该漏洞技(jì )术细节及PoC已在互联网公(gōng)开,建议受影响用(yòng)户尽快采取安(ān)全措施以保障系统安(ān)全。
Joomla是一种免费的、开源的内容管理(lǐ)系统(CMS),可(kě)以用(yòng)来创建和管理(lǐ)网站的内容、布局和功能(néng)。Joomla最初于2005年发布,是一个基于PHP的Web应用(yòng)程序,使用(yòng)MySQL数据库来存储数据。其具(jù)有(yǒu)可(kě)扩展性强、易于使用(yòng)、可(kě)定制性高等特点,这使得它成為(wèi)许多(duō)网站、社區(qū)门户、博客和在線(xiàn)商(shāng)店(diàn)的流行选择之一。Joomla拥有(yǒu)丰富的社區(qū)和生态系统,提供大量的插件、模板和扩展程序,使得用(yòng)户可(kě)以根据自己的需求自由地扩展和定制自己的网站。
漏洞编号和等级
CVE-2023-23752
CVSS V3.1:7.5
漏洞状态
| 漏洞细节 | PoC | EXP | 在野利用(yòng) |
已公(gōng)开 | 已公(gōng)开 | 未公(gōng)开 | 未知 |
受影响版本
4.0.0 <= Joomla <= 4.2.7
漏洞复现
修复建议
官方措施
目前Joomla官方已发布安(ān)全版本以修复此安(ān)全问题,建议受影响用(yòng)户尽快升级至4.2.8及以上版本:
https://github.com/joomla/joomla-cms/releases/tag/4.2.8
参考链接
https://developer.joomla.org/security-centre/894-20230201-core-improper-access-check-in-webservice-endpoints.html
分(fēn)享到微信
X