Joomla未授权访问漏洞(CVE-2023-23752)风险提示

admin 2023年2月22日19:47:36评论57 views字数 763阅读2分32秒阅读模式
Joomla未授权访问漏洞(CVE-2023-23752)风险提示


漏洞公告

近日,安恒信息CERT监测到Joomla官方发布了安全公告,修复了Joomla未授权访问漏洞(CVE-2023-23752)。在Joomla受影响的版本中由于对Web服务端点的访问限制不当,远程攻击者可以绕过安全限制获得Web应用程序敏感信息。此漏洞细节及Poc已公开,目前官方发布安全版本,建议受影响的用户尽快采取安全措施。


参考链接:

https://developer.joomla.org/security-centre/894-20230201-core-improper-access-check-in-webservice-endpoints.html



影响范围


受影响版本:

4.0.0 <= Joomla <= 4.2.7

安全版本:

Joomla >=4.2.8



漏洞描述


Joomla是一套全球知名的内容管理系统(CMS),其使用PHP语言和MySQL数据库开发,可以在Linux、Windows、MacOSX等各种不同的平台上运行。

Joomla未授权访问漏洞(CVE-2023-23752):由于对Web服务端点的访问限制不当,远程攻击者可利用此漏洞未授权访问REST API接口,造成敏感信息泄露。

细节是否公开 POC状态 EXP状态 在野利用
已公开 未公开 未发现



安恒信息CERT已验证该漏洞的可利用性:

Joomla未授权访问漏洞(CVE-2023-23752)风险提示




缓解措施


高危:目前漏洞细节和测试代码已公开,建议受影响的用户尽快采取安全措施。

官方建议:

1、目前官方已发布安全版本修复上述漏洞,建议受影响的用户升级至安全版本。

下载链接:

https://github.com/joomla/joomla-cms/releases/tag/4.2.8



安恒信息CERT

2023年2月

原文始发于微信公众号(安恒信息CERT):Joomla未授权访问漏洞(CVE-2023-23752)风险提示

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年2月22日19:47:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Joomla未授权访问漏洞(CVE-2023-23752)风险提示http://cn-sec.com/archives/1567252.html

发表评论

匿名网友 填写信息