安全公告編號:CNTA-2023-0005

2023年2月22日🫵🏻，國家信息安全漏洞共享平臺（CNVD）收錄了Joomla未授權訪問漏洞（CNVD-2023-11024，對應CVE-2023-23752）。未經授權的攻擊者可遠程利用該漏洞獲得服務器敏感信息。目前👇🏻，該漏洞的利用細節和測試代碼已公開，廠商已發布新版本完成修復🤵。CNVD建議受影響的單位和用戶立即升級到最新版本。

一、漏洞情況分析

Joomla是由Open Source Matters開源組織研發和維護的知名內容管理系統（CMS），它使用PHP語言和MySQL數據庫開發，兼容Linux、Windows💁🏻、MacOSX等多種系統平臺。

近日🐦‍🔥，Joomla官方發布安全公告，修復了Joomla未授權訪問漏洞🪆。由於Joomla對Web服務端點缺乏必要的訪問限製，未經身份認證的攻擊者，可以遠程利用此漏洞訪問服務器REST API接口，造成服務器敏感信息泄露✦。

CNVD對該漏洞的綜合評級為“高危”🧟‍♀️。

二🧒🏻、漏洞影響範圍

漏洞影響的產品和版本：

4.0.0 <= Joomla <= 4.2.7

三🧍🏻‍♀️👨🏼‍🏫、漏洞處置建議

目前🫳🏼，Joomla官方已發布新版本修復該漏洞，CNVD建議受影響的單位和用戶立即升級至4.2.8及以上版本：

https://downloads.joomla.org/

https://github.com/joomla/joomla-cms/releases/tag/4.2.8

   （信息來源👨‍🦱：國家信息安全漏洞共享平臺）