מערכת ניהול התוכן בקוד פתוח של ג'ומלה (CMS) פגיעה לפגיעות אבטחה מרובות של סקריפטים בין אתרים (XSS) שעלולות לאפשר ביצוע קוד מרחוק (RCE).
צוות מחקר הפגיעות של Sonar גילה כי פגם מהותי אחד, המעקב כ-CVE-2024-21726, הוא בלב הבעיות. זה משפיע על רכיב מסנן הליבה של ג'ומלה.
"סינון תוכן לא מספק מוביל ל נקודות תורפה של XSS ברכיבים שונים", לפי הייעוץ של ג'ומלה, שכינה את הבאג "מתון" אך לא כלל ציון חומרת פגיעות CVSS.
תוקפי סייבר יכולים לנצל באגי XSS כדי להחדיר סקריפטים זדוניים לאתרים שפירים ומהימנים, אשר יכולים בתורם לגנוב מידע מבקרים, לבצע הפניות זדוניות או להדביק משתמשים בתוכנה זדונית. במקרה זה, התוקפים יכולים להפעיל את הבעיות על ידי שכנוע של מנהל מערכת ללחוץ על קישור זדוני.
ג'ומלה מחזיקה בסביבות 2% מכל אתרי האינטרנט, כאשר רוב הפריסות נגישות לציבור - מה שהופך אותו ל- יעד מתמשך עבור שחקני איומים. הנושא תוקן גירסאות ג'ומלה 5.0.3/4.4.3, שוחרר היום, כך שמשתמשים צריכים לעדכן בהקדם האפשרי כדי להימנע מליפול טרף לתוקפים.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/application-security/joomla-xss-bugs-open-millions-websites-rce
- :הוא
- :לֹא
- 2%
- 7
- a
- נגיש
- פי
- שחקנים
- תעשיות
- להתיר
- an
- ו
- סביב
- AS
- At
- לְהִמָנַע
- חרק
- באגים
- אבל
- by
- נקרא
- CAN
- מקרה
- קליק
- CMS
- קוד
- רְכִיב
- רכיבים
- תוכן
- ליבה
- יכול
- פריסות
- DID
- גילה
- הוצאת להורג
- לנצל
- נפילה
- לסנן
- סינון
- פגם
- בעד
- יסודי
- לֵב
- HTML
- HTTPS
- in
- לכלול
- מידע
- לְהַזרִיק
- אל תוך
- סוגיה
- בעיות
- IT
- jpg
- מוביל
- קשר
- עשייה
- זדוני
- תוכנות זדוניות
- ניהול
- מיליונים
- בינוני
- רוב
- מספר
- of
- on
- ONE
- לפתוח
- קוד פתוח
- or
- לְבַצֵעַ
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- כוחות
- טֶרֶף
- בפומבי
- שוחרר
- מרחוק
- מחקר
- s
- ציון
- סקריפטים
- אבטחה
- צריך
- So
- מָקוֹר
- ממומן
- מערכת
- נבחרת
- זֶה
- השמיים
- זֶה
- איום
- איום שחקנים
- ל
- היום
- להפעיל
- מהימן
- תור
- עדכון
- משתמשים
- שונים
- גירסאות
- מבקר
- פגיעויות
- פגיעות
- פגיע
- אתרים
- אשר
- עם
- XSS
- זפירנט