Hệ thống quản lý nội dung nguồn mở (CMS) Joomla dễ bị tấn công bởi nhiều lỗ hổng bảo mật tập lệnh chéo trang (XSS) có thể cho phép thực thi mã từ xa (RCE).
Nhóm nghiên cứu lỗ hổng của Sonar đã phát hiện ra rằng một lỗ hổng cơ bản, được theo dõi là CVE-2024-21726, là nguyên nhân chính của vấn đề. Nó ảnh hưởng đến thành phần lọc cốt lõi của Joomla.
“Việc lọc nội dung không đầy đủ sẽ dẫn đến Lỗ hổng XSS trong các thành phần khác nhau,” theo Lời khuyên của Joomla, gọi lỗi này là “trung bình” nhưng không bao gồm điểm mức độ nghiêm trọng của lỗ hổng CVSS.
Những kẻ tấn công mạng có thể khai thác lỗi XSS để đưa các tập lệnh độc hại vào các trang web lành tính và đáng tin cậy, từ đó có thể đánh cắp thông tin của khách truy cập, thực hiện chuyển hướng độc hại hoặc lây nhiễm phần mềm độc hại cho người dùng. Trong trường hợp này, kẻ tấn công có thể gây ra sự cố bằng cách thuyết phục quản trị viên nhấp vào liên kết độc hại.
Joomla chiếm khoảng 2% tổng số trang web, với hầu hết các hoạt động triển khai đều có thể truy cập công khai — làm cho nó trở thành một mục tiêu đang diễn ra cho các tác nhân đe dọa. Sự cố đã được vá trong Phiên bản Joomla 5.0.3/4.4.3, được phát hành ngày hôm nay, vì vậy người dùng nên cập nhật càng sớm càng tốt để tránh trở thành con mồi cho những kẻ tấn công.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/application-security/joomla-xss-bugs-open-millions-websites-rce
- :là
- :không phải
- 2%
- 7
- a
- có thể truy cập
- Theo
- diễn viên
- Tất cả
- cho phép
- an
- và
- xung quanh
- AS
- At
- tránh
- Bug
- lỗi
- nhưng
- by
- gọi là
- CAN
- trường hợp
- Nhấp chuột
- CMS
- mã
- thành phần
- các thành phần
- nội dung
- Trung tâm
- có thể
- triển khai
- ĐÃ LÀM
- phát hiện
- thực hiện
- Khai thác
- rơi xuống
- lọc
- lọc
- lỗ hổng
- Trong
- cơ bản
- Trái Tim
- HTML
- HTTPS
- in
- bao gồm
- thông tin
- chích
- trong
- vấn đề
- các vấn đề
- IT
- jpg
- Dẫn
- LINK
- Làm
- độc hại
- phần mềm độc hại
- quản lý
- hàng triệu
- vừa phải
- hầu hết
- nhiều
- of
- on
- ONE
- mở
- mã nguồn mở
- or
- Thực hiện
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- quyền hạn
- làm mồi
- công khai
- phát hành
- xa
- nghiên cứu
- s
- Điểm số
- kịch bản
- an ninh
- nên
- So
- nguồn
- Được tài trợ
- hệ thống
- nhóm
- việc này
- Sản phẩm
- điều này
- mối đe dọa
- diễn viên đe dọa
- đến
- bây giờ
- kích hoạt
- đáng tin cậy
- XOAY
- Cập nhật
- Người sử dụng
- khác nhau
- phiên bản
- Lượt truy cập
- Lỗ hổng
- dễ bị tổn thương
- Dễ bị tổn thương
- trang web
- cái nào
- với
- XSS
- zephyrnet