【漏洞通告】关于Joomla未授权访问漏洞(CVE-2023-23752)

安全通告

Joomla未授权访问漏洞预警通告

发布日期:2023-2-22

 

漏洞描述

2023年2月22日公司监测到Joomla官方发布了Joomla未授权访问漏洞的安全更新通告。Joomla是一套全球知名的内容管理系统,该系统使用PHP语言与MySQL数据库开发,可以在Linux、Windows、MacOSX等各种不同的平台上运行。由于Joomla对Web服务端点的访问控制存在缺陷,未经身份认证的攻击者通过构造特制请求访问RestAPI接口获取Joomla相关配置信息,最终导致敏感信息泄露。

漏洞编号

CVE-2023-23752

漏洞危害

攻击者可以利用通过构造特制请求访问RestAPI接口获取Joomla相关配置信息,最终导致敏感信息泄露。

漏洞等级

严重
受影响版本

4.0.0 <= Joomla <= 4.2.7

修复方案

目前官方已发布安全版本(4.2.8)修复此漏洞,建议受影响的用户及时升级防护:https://downloads.joomla.org/

参考链接

https://developer.joomla.org/security-centre/894-20230201-core-improper-access-check-in-webservice-endpoints.html