近日,亚信安全CERT监测到Joomla发布安全通告,修复了Joomla中的一个未授权访问漏洞(CVE-2023-23752)该漏洞源于程序对Web服务端点的访问限制不严格,导致未经身份认证的攻击者可以远程利用此漏洞访问服务器REST API接口,获取服务器敏感信息。
目前该漏洞技术细节及PoC已在互联网公开,建议受影响用户尽快采取安全措施以保障系统安全Joomla是一种免费的、开源的内容管理系统(CMS),可以用来创建和管理网站的内容、布局和功能Joomla最初于2005年发布,是一个基于PHP的Web应用程序,使用MySQL数据库来存储数据。
其具有可扩展性强、易于使用、可定制性高等特点,这使得它成为许多网站、社区门户、博客和在线商店的流行选择之一Joomla拥有丰富的社区和生态系统,提供大量的插件、模板和扩展程序,使得用户可以根据自己的需求自由地扩展和定制自己的网站。
漏洞编号和等级CVE-2023-23752CVSS V3.1:7.5漏洞状态漏洞细节-已公开PoC-已公开EXP-未公开在野利用-未知受影响版本4.0.0 <= Joomla <= 4.2.7漏洞复现
修复建议官方措施目前Joomla官方已发布安全版本以修复此安全问题,建议受影响用户尽快升级至4.2.8及以上版本
