【预警类型】 高危预警
【预警内容】
关于 joomla 存在未授权访问漏洞的安全公告 安全公告编号: cnta-2023-0005
2023 年 2 月 22 日, 国家信息安全漏洞共享平台(cnvd) 收录了 joomla 未授权访问漏洞(cnvd- 2023 - 11024, 对应 cve- 2023-2375 2) 。未经授权的攻击者可远程利用该漏洞获得服务器敏感信息。目 前, 该漏洞的利用细节和测试代码已公开, 厂商已发布新版本完成修 复。 cnvd 建议受影响的单位和用户立即升级到最新版本。
一、漏洞概述
joomla 是由 open source matters 开源组织研发和维护的知名内 容管理系统(cms) , 它使用 php 语言和 mysql 数据库开发,兼容 linux 、 windows 、 macosx 等多种系统平台。
近日, joomla 官方发布安全公告,修复了 joomla 未授权访问漏洞。 由于 joomla 对 web 服务端点缺乏必要的访问限制, 未经身份认证的 攻击者, 可以远程利用此漏洞访问服务器 rest api 接口, 造成服务 器敏感信息泄露。
二、漏洞影响范围
漏洞影响的产品和版本: 4.0.0 <= joomla <= 4.2.7
三、 漏洞处置建议
目前, joomla 官方已发布新版本修复该漏洞, cnvd 建议受影 响的单位和用户立即升级至 4.2.8 及以上版本:
参考链接 :
