安全公告编号:cnta-2023-0005
2023年2月22日,国家信息安全漏洞共享平台(cnvd)收录了joomla未授权访问漏洞(cnvd-2023-11024,对应cve-2023-23752)。未经授权的攻击者可远程利用该漏洞获得服务器敏感信息。目前,该漏洞的利用细节和测试代码已公开,厂商已发布新版本完成修复。cnvd建议受影响的单位和用户立即升级到最新版本。
一、漏洞情况分析
joomla是由open source matters开源组织研发和维护的知名内容管理系统(cms),它使用php语言和mysql数据库开发,兼容linux、windows、macosx等多种系统平台。
近日,joomla官方发布安全公告,修复了joomla未授权访问漏洞。由于joomla对web服务端点缺乏必要的访问限制,未经身份认证的攻击者,可以远程利用此漏洞访问服务器rest api接口,造成服务器敏感信息泄露。
cnvd对该漏洞的综合评级为“高危”。
二、漏洞影响范围
漏洞影响的产品和版本:
4.0.0 <= joomla <= 4.2.7
三、漏洞处置建议
目前,joomla官方已发布新版本修复该漏洞,cnvd建议受影响的单位和用户立即升级至4.2.8及以上版本:
感谢奇安信网神信息技术(北京)股份有限公司、深信服科技股份有限公司、杭州安恒信息技术股份有限公司和北京知道创宇信息技术股份有限公司为本报告提供的凯发k8官方的技术支持。