Joomla发现 5 个漏洞可执行任意代码

阅读量100051

发布时间 : 2024-02-23 10:54:03

Joomla 内容管理系统中发现了五个漏洞,可用于在易受攻击的网站上执行任意代码。开发人员已经通过 在版本 5.0.3 和 4.4.3 中 发布 CMS修复程序来修复这些影响 Joomla 多个版本的安全问题。

  • CVE-2024-21722 :当用户的多重身份验证 (MFA) 方法发生更改时, MFA 管理功能
  • CVE-2024-21723 :不正确的 URL 解析可能导致开放重定向。
  • CVE-2024-21724 :媒体选择字段的输入验证不当会导致各种扩展中存在跨站脚本 ( XSS ) 漏洞。
  • CVE-2024-21725 :电子邮件地址的不当转义会导致各种组件中存在 XSS 漏洞。被 利用的可能性很高
  • CVE-2024-21726 :过滤器代码中的内容过滤不正确,导致多个 XSS 缺陷。被利用的平均可能性以及实现远程代码执行 ( RCE ) 的能力

Joomla 通报指出,XSS 漏洞 CVE-2024-21726 影响核心 Joomla 过滤器组件,被利用的可能性中等。然而, 根据Sonar 的说法 ,该缺陷可以被利用来实现远程代码执行。

攻击者可以通过诱骗管理员单击恶意链接来利用此漏洞。虽然利用需要用户交互,但攻击者可以使用各种技巧来吸引管理员的注意或发起所谓的“喷雾和祈祷”攻击,希望某些用户点击恶意链接。

Sonar 没有透露该漏洞的技术细节,以便让更多的 Joomla 管理员应用可用的安全更新。Sonar 强调立即采取行动降低风险的重要性,并强烈建议所有 Joomla 用户更新到最新版本。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+16赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66