在Joomla内容管理系统中发现了五个漏洞,可用于在易受攻击的网站上执行任意代码。开发人员已通过在版本5.0.3和4.4.3中发布CMS修复程序来解决这些影响Joomla多个版本的安全问题。
- CVE-2024-21722 :当用户的多重身份验证 (MFA) 方法发生更改时, MFA 管理功能
- CVE-2024-21723 :不正确的 URL 解析可能导致开放重定向。
- CVE-2024-21724 :媒体选择字段的输入验证不当会导致各种扩展中存在跨站脚本 ( XSS ) 漏洞。
- CVE-2024-21725 :电子邮件地址的不当转义会导致各种组件中存在 XSS 漏洞,被利用的可能性很高。
- CVE-2024-21726 :过滤器代码中的内容过滤不正确,导致多个 XSS 缺陷。
根据Joomla通报,XSS漏洞CVE-2024-21726影响核心Joomla过滤器组件,被利用的可能性属于中等级别。然而,根据Sonar的说法,该缺陷可用于实现远程代码执行。
攻击者可以通过诱骗管理员单击恶意链接来利用此漏洞。虽然利用需要用户交互,但攻击者可以使用各种技巧来吸引管理员的注意或发起攻击,诱骗某些用户点击恶意链接。
Sonar未透露该漏洞的技术细节,以便让更多的Joomla管理员应用可用的安全更新。Sonar强调立即采取行动降低风险的重要性,并强烈建议所有Joomla用户更新到最新版本。
转自安全客,原文链接:https://www.anquanke.com/post/id/293403
封面来源于网络,如有侵权请联系删除