Joomla webservice 接口未授权
访问漏洞(CVE-2023-23752)
Joomla是一套全球知名的内容管理系统(CMS),使用PHP语言加上MySQL数据库所开发,可以在Linux、Windows、MacOSX等各种不同的平台上运行。
2月1日,Joomla官方发布安全通告,修复了一处存在于webservice接口中的未授权访问漏洞,漏洞编号为CVE-2023-23752,漏洞危害官方评级为高危:
https://developer.joomla.org/security-centre/894-20230201-core-improper-access-check-in-webservice-endpoints.html
漏洞描述
由于 Joomla 对 webservice 接口的鉴权校验存在缺陷,远程的攻击者可在未经过身份认证的情况下调用 webservice 接口,可造成服务端敏感信息泄漏(如数据库账号密码)等危害。
目前已经有相关漏洞细节和利用脚本在网络上流传,使用 Joomla 的用户需尽快进行安全升级漏洞修复。
影响范围
-
Joomla! CMS 4.0.0 - 4.2.7
解决方案
Joomla官方已发布相应的补丁修复漏洞,用户可通过更新升级至 4.2.8 版本进行漏洞修复。
产品支持
云图:默认支持 Joomla! CMS产品指纹,受影响范围检测规则已发布。
全悉:已发布更新包,支持检测该漏洞。
洞鉴:已支持原理扫描检测,检测规则已发布。
参考资料
-
https://developer.joomla.org/security-centre/894-20230201-core-improper-access-check-in-webservice-endpoints.html
原文始发于微信公众号(长亭技术沙盒):漏洞风险提示 | Joomla webservice 接口未授权访问漏洞(CVE-2023-23752)
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论