Joomla XSS-i vead avavad RCE-le miljoneid veebisaite

Joomla avatud lähtekoodiga sisuhaldussüsteem (CMS) on haavatav mitme saidiülese skriptimise (XSS) turvanõrkuse suhtes, mis võivad võimaldada koodi kaugkäivitamist (RCE).

Sonari haavatavuse uurimisrühm avastas, et probleemide keskmes on üks põhiline viga, mida jälgitakse nimega CVE-2024-21726. See mõjutab Joomla põhifiltri komponenti.

"Ebapiisav sisu filtreerimine toob kaasa XSS-i haavatavused erinevates komponentides”, vastavalt Joomla nõuanne, mis nimetas vea "mõõdukaks", kuid ei sisaldanud CVSS-i haavatavuse ja tõsiduse skoori.

Küberründajad saavad XSS-i vigu ära kasutada, et süstida pahatahtlikke skripte healoomulistele ja usaldusväärsetele veebisaitidele, mis omakorda võivad varastada külastajateavet, sooritada pahatahtlikke ümbersuunamisi või nakatada kasutajaid pahavaraga. Sel juhul võivad ründajad probleemid vallandada, veendes administraatorit pahatahtlikul lingil klõpsama.

Joomla võimsus on umbes 2% kõigist veebisaitidest, kus enamik juurutusi on avalikult juurdepääsetavad – muutes selle a jätkuv sihtmärk ohus osalejatele. Probleem on lapitud Joomla versioonid 5.0.3/4.4.3, mis avaldati täna, nii et kasutajad peaksid ründajate ohvriks langemise vältimiseks värskendama ASAP.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/application-security/joomla-xss-bugs-open-millions-websites-rce