知名的內(nèi)容內(nèi)容管理系統(tǒng) (CMS) Joomla 日前發(fā)布安全公告披露 5 個高危級別的漏洞，這些漏洞可以在網(wǎng)站上執(zhí)行任意代碼，管理更新高危危害性非常高，系統(tǒng)修復因此使用 Joomla 的發(fā)布企業(yè)和站長應(yīng)該立即更新。

下面是多個點網(wǎng)漏洞概覽：

• CVE-2024-21722：當用戶綁定的 MFA 多因素認證被修改后，無法自動終止會話
• CVE-2024-21723：當 URL 解析不正確時可能導致開放重定向
• CVE-2024-21724：媒體選擇字段的漏洞輸入驗證不充分導致各種擴展存在 XSS 漏洞
• CVE-2024-21725：郵件地址轉(zhuǎn)義不正確導致各個組件存在 XSS 漏洞
• CVE-2024-21726：過濾器代碼中的內(nèi)容過濾不充分導致多個 XSS 漏洞

Joomla 在安全公告中稱，CVE-2024-21725 是請各風險最高的漏洞，因為這個漏洞具有很高的位站利用率，黑客可能可以通過特制的長立郵件地址來觸發(fā)漏洞發(fā)起攻擊。

遠程代碼執(zhí)行漏洞：

CVE-2024-21726 是即升級藍一個典型的跨站腳本攻擊漏洞 (即 XSS)，該漏洞影響 Joomla 的內(nèi)容核心過濾器組件，具有中等嚴重性和利用的管理更新高?？赡苄?。不過研究人員 Stefan Schiller 則警告稱，系統(tǒng)修復該漏洞也可以用來實現(xiàn)遠程代碼執(zhí)行，發(fā)布實際危害程度更高。多個點網(wǎng)

例如攻擊者可以通過釣魚郵件的方式制作特定鏈接誘導具有權(quán)限的用戶 (例如管理員) 點擊鏈接進而遠程代碼執(zhí)行。

有鑒于目前這些漏洞還具有較高的威脅性以及大多數(shù)網(wǎng)站可能還沒完成升級，因此研究人員不愿透露這些漏洞的細節(jié)，避免被黑客用來發(fā)起攻擊。

如果你使用 Joomla，請盡快升級到 4.4.3 版或 5.0.3 版，這兩個版本均已修復這些漏洞，你可以點擊這里查看安全公告并獲得升級方法：https://www.joomla.org/announcements/release-news/5904-joomla-5-0-3-and-4-4-3-security-and-bug-fix-release.html