近日，亞信安全CERT監(jiān)測到Joomla發(fā)布安全通告，修復(fù)了Joomla中的一個未授權(quán)訪問漏洞（CVE-2023-23752）。該漏洞源于程序?qū)eb服務(wù)端點的訪問限制不嚴(yán)格，導(dǎo)致未經(jīng)身份認(rèn)證的攻擊者可以遠(yuǎn)程利用此漏洞訪問服務(wù)器REST API接口，獲取服務(wù)器敏感信息。目前該漏洞技術(shù)細(xì)節(jié)及PoC已在互聯(lián)網(wǎng)公開，建議受影響用戶盡快采取安全措施以保障系統(tǒng)安全。

Joomla是一種免費的、開源的內(nèi)容管理系統(tǒng)（CMS），可以用來創(chuàng)建和管理網(wǎng)站的內(nèi)容、布局和功能。Joomla最初于2005年發(fā)布，是一個基于PHP的Web應(yīng)用程序，使用MySQL數(shù)據(jù)庫來存儲數(shù)據(jù)。其具有可擴(kuò)展性強(qiáng)、易于使用、可定制性高等特點，這使得它成為許多網(wǎng)站、社區(qū)門戶、博客和在線商店的流行選擇之一。Joomla擁有豐富的社區(qū)和生態(tài)系統(tǒng)，提供大量的插件、模板和擴(kuò)展程序，使得用戶可以根據(jù)自己的需求自由地擴(kuò)展和定制自己的網(wǎng)站。

漏洞編號和等級

CVE-2023-23752

CVSS V3.1：7.5

漏洞狀態(tài)

漏洞細(xì)節(jié)-已公開

PoC-已公開

EXP-未公開

在野利用-未知

受影響版本

4.0.0 <= Joomla <= 4.2.7

漏洞復(fù)現(xiàn)

修復(fù)建議

官方措施

目前Joomla官方已發(fā)布安全版本以修復(fù)此安全問題，建議受影響用戶盡快升級至4.2.8及以上版本