באגים של Joomla XSS פותחים מיליוני אתרים ל-RCE

מערכת ניהול התוכן בקוד פתוח של ג'ומלה (CMS) פגיעה לפגיעות אבטחה מרובות של סקריפטים בין אתרים (XSS) שעלולות לאפשר ביצוע קוד מרחוק (RCE).

צוות מחקר הפגיעות של Sonar גילה כי פגם מהותי אחד, המעקב כ-CVE-2024-21726, הוא בלב הבעיות. זה משפיע על רכיב מסנן הליבה של ג'ומלה.

"סינון תוכן לא מספק מוביל ל נקודות תורפה של XSS ברכיבים שונים", לפי הייעוץ של ג'ומלה, שכינה את הבאג "מתון" אך לא כלל ציון חומרת פגיעות CVSS.

תוקפי סייבר יכולים לנצל באגי XSS כדי להחדיר סקריפטים זדוניים לאתרים שפירים ומהימנים, אשר יכולים בתורם לגנוב מידע מבקרים, לבצע הפניות זדוניות או להדביק משתמשים בתוכנה זדונית. במקרה זה, התוקפים יכולים להפעיל את הבעיות על ידי שכנוע של מנהל מערכת ללחוץ על קישור זדוני.

ג'ומלה מחזיקה בסביבות 2% מכל אתרי האינטרנט, כאשר רוב הפריסות נגישות לציבור - מה שהופך אותו ל- יעד מתמשך עבור שחקני איומים. הנושא תוקן גירסאות ג'ומלה 5.0.3/4.4.3, שוחרר היום, כך שמשתמשים צריכים לעדכן בהקדם האפשרי כדי להימנע מליפול טרף לתוקפים.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/application-security/joomla-xss-bugs-open-millions-websites-rce