Система управления контентом (CMS) с открытым исходным кодом Joomla уязвима для множества уязвимостей безопасности межсайтового скриптинга (XSS), которые могут сделать возможным удаленное выполнение кода (RCE).
Группа исследования уязвимостей Sonar обнаружила, что в основе проблем лежит один фундаментальный недостаток, обозначенный как CVE-2024-21726. Это влияет на основной компонент фильтра Joomla.
«Неадекватная фильтрация контента приводит к XSS-уязвимости в различных компонентах», по данным Консультации по Joomla, который назвал ошибку «средней», но не включил оценку серьезности уязвимости CVSS.
Киберзлоумышленники могут использовать ошибки XSS для внедрения вредоносных сценариев на безопасные и надежные веб-сайты, которые, в свою очередь, могут украсть информацию о посетителях, выполнить вредоносное перенаправление или заразить пользователей вредоносным ПО. В этом случае злоумышленники могут спровоцировать проблемы, убедив администратора нажать на вредоносную ссылку.
Joomla обеспечивает работу около 2% всех веб-сайтов, причем большинство развертываний общедоступны, что делает его постоянная цель для субъектов угроз. Проблема исправлена в Joomla версии 5.0.3/4.4.3, выпущенный сегодня, поэтому пользователям следует обновить его как можно скорее, чтобы не стать жертвой злоумышленников.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/application-security/joomla-xss-bugs-open-millions-websites-rce
- :является
- :нет
- 2%
- 7
- a
- доступной
- По
- актеры
- Все
- позволять
- an
- и
- около
- AS
- At
- избежать
- Ошибка
- ошибки
- но
- by
- под названием
- CAN
- случаев
- нажмите на
- КМВ
- код
- компонент
- компоненты
- содержание
- Основные
- может
- развертывания
- DID
- открытый
- выполнение
- Эксплуатировать
- Падение
- фильтр
- фильтрация
- недостаток
- Что касается
- фундаментальный
- Сердце
- HTML
- HTTPS
- in
- включают
- информация
- вводить
- в
- вопрос
- вопросы
- IT
- JPG
- Лиды
- LINK
- Создание
- злонамеренный
- вредоносных программ
- управление
- миллионы
- умеренному
- самых
- с разными
- of
- on
- ONE
- открытый
- с открытым исходным кодом
- or
- Выполнять
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- полномочия
- добыча
- публично
- выпустил
- удаленные
- исследованиям
- s
- Гол
- скрипты
- безопасность
- должен
- So
- Источник
- Спонсоров
- система
- команда
- который
- Ассоциация
- этой
- угроза
- актеры угрозы
- в
- сегодня
- вызвать
- надежных
- ОЧЕРЕДЬ
- Обновление ПО
- пользователей
- различный
- версии
- посетитель
- Уязвимости
- уязвимость
- Уязвимый
- веб-сайты
- который
- XSS
- зефирнет