关于Joomla存在未授权访问漏洞的安全公告

时间:2023-02-23浏览:10


安全公告编号:CNTA-2023-0005

2023年2月22日,国家信息安全漏洞共享平台(CNVD)收录了Joomla未授权访问漏洞(CNVD-2023-11024,对应CVE-2023-23752)。未经授权的攻击者可远程利用该漏洞获得服务器敏感信息。目前,该漏洞的利用细节和测试代码已公开,厂商已发布新版本完成修复。CNVD建议受影响的单位和用户立即升级到最新版本。


一、漏洞情况分析


Joomla是由Open Source Matters开源组织研发和维护的知名内容管理系统(CMS),它使用PHP语言和MySQL数据库开发,兼容Linux、Windows、MacOSX等多种系统平台。


近日,Joomla官方发布安全公告,修复了Joomla未授权访问漏洞。由于Joomla对Web服务端点缺乏必要的访问限制,未经身份认证的攻击者,可以远程利用此漏洞访问服务器REST API接口,造成服务器敏感信息泄露。


CNVD对该漏洞的综合评级为“高危”。


二、漏洞影响范围


漏洞影响的产品和版本:


4.0.0 <= Joomla <= 4.2.7


三、漏洞处置建议


目前,Joomla官方已发布新版本修复该漏洞,CNVD建议受影响的单位和用户立即升级至4.2.8及以上版本:


https://downloads.joomla.org/


https://github.com/joomla/joomla-cms/releases/tag/4.2.8


引用自:https://www.cnvd.org.cn/webinfo/show/8601