关于Joomla存在未授权访问漏洞的安全公告

2023年2月24日10:27:28评论30 views字数 724阅读2分24秒阅读模式

安全公告编号:CNTA-2023-0005

2023年2月22日，国家信息安全漏洞共享平台（CNVD）收录了Joomla未授权访问漏洞（CNVD-2023-11024，对应CVE-2023-23752）。未经授权的攻击者可远程利用该漏洞获得服务器敏感信息。目前，该漏洞的利用细节和测试代码已公开，厂商已发布新版本完成修复。CNVD建议受影响的单位和用户立即升级到最新版本。

一、漏洞情况分析

Joomla是由Open Source Matters开源组织研发和维护的知名内容管理系统（CMS），它使用PHP语言和MySQL数据库开发，兼容Linux、Windows、MacOSX等多种系统平台。

近日，Joomla官方发布安全公告，修复了Joomla未授权访问漏洞。由于Joomla对Web服务端点缺乏必要的访问限制，未经身份认证的攻击者，可以远程利用此漏洞访问服务器REST API接口，造成服务器敏感信息泄露。

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

漏洞影响的产品和版本：

4.0.0 <= Joomla <= 4.2.7

三、漏洞处置建议

目前，Joomla官方已发布新版本修复该漏洞，CNVD建议受影响的单位和用户立即升级至4.2.8及以上版本：

https://downloads.joomla.org/

https://github.com/joomla/joomla-cms/releases/tag/4.2.8

感谢奇安信网神信息技术（北京）股份有限公司、深信服科技股份有限公司、杭州安恒信息技术股份有限公司和北京知道创宇信息技术股份有限公司为本报告提供的技术支持。

原文始发于微信公众号（CNVD漏洞平台）：关于Joomla存在未授权访问漏洞的安全公告

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

关于Joomla存在未授权访问漏洞的安全公告

Windows提权漏洞CVE-2025-21204

漏洞预警博华X龙防火墙系统 arp_scan文件读取漏洞

网安人的咯噔文学|CVE-2025-404NotFound？

CVE-2025-21204: Windows Update Stack 中的不当链接跟随导致的权限提升

Windows 提权漏洞速报：CVE-2025-21204

Jupyter Remote Desktop未授权访问漏洞CVE-2025-32428

F5 BIG-IP命令注入漏洞CVE-2025-23239

三星路由器WLAN-AP-WEA453e-未授权RCE等多个漏洞 POC

CVE-2025-24071｜Windows 文件资源管理器欺骗漏洞

CVE-2024-22243 Spring Web UriComponentsBuilder URL 解析不当漏洞分析

发表评论

在线咨询

微信