安全公告編號(hào):CNTA-2023-0005
2023年2月22日,國(guó)家信息安全漏洞共享平臺(tái)(CNVD)收錄了Joomla未授權(quán)訪問漏洞(CNVD-2023-11024,對(duì)應(yīng)CVE-2023-23752)。未經(jīng)授權(quán)的攻擊者可遠(yuǎn)程利用該漏洞獲得服務(wù)器敏感信息。目前,該漏洞的利用細(xì)節(jié)和測(cè)試代碼已公開,廠商已發(fā)布新版本完成修復(fù)。CNVD建議受影響的單位和用戶立即升級(jí)到最新版本。
一、漏洞情況分析
Joomla是由Open Source Matters開源組織研發(fā)和維護(hù)的知名內(nèi)容管理系統(tǒng)(CMS),它使用PHP語言和MySQL數(shù)據(jù)庫(kù)開發(fā),兼容Linux、Windows、MacOSX等多種系統(tǒng)平臺(tái)。
近日,Joomla官方發(fā)布安全公告,修復(fù)了Joomla未授權(quán)訪問漏洞。由于Joomla對(duì)Web服務(wù)端點(diǎn)缺乏必要的訪問限制,未經(jīng)身份認(rèn)證的攻擊者,可以遠(yuǎn)程利用此漏洞訪問服務(wù)器REST API接口,造成服務(wù)器敏感信息泄露。
CNVD對(duì)該漏洞的綜合評(píng)級(jí)為“高危”。
二、漏洞影響范圍
漏洞影響的產(chǎn)品和版本:
4.0.0 <= Joomla <= 4.2.7
三、漏洞處置建議
目前,Joomla官方已發(fā)布新版本修復(fù)該漏洞,CNVD建議受影響的單位和用戶立即升級(jí)至4.2.8及以上版本:
https://downloads.joomla.org/
https://github.com/joomla/joomla-cms/releases/tag/4.2.8
