Множество уязвимостей XSS в Joomla - удаленное выполнение кода.

22 февраля 2024 года разработчики Joomla обнародовали информацию о нескольких уязвимостях в популярной системе управления контентом, которые могут привести к выполнению произвольного кода. Разработчики проекта Joomla! выпустили версии Joomla 5.0.3 и 4.4.3, в которых были устранены следующие уязвимости в системе управления контентом:

[20240201] –CVE-2024-21722 Core – Недостаточное время сессии в представлениях управления MFA:

Функции управления MFA некорректно завершали существующие пользовательские сеансы при изменении методов MFA пользователя.

[20240202] – CVE-2024-21723 Core – Открытое перенаправление в приложении установки:

Неправильный разбор URL-адресов мог привести к открытому перенаправлению.

[20240203] – CVE-2024-21724 Core – XSS в полях выбора медиафайлов:

Недостаточная проверка ввода для полей выбора медиафайлов вызывает уязвимости XSS в различных расширениях.

[20240204] – CVE-2024-21725 Core – XSS в выводе почтовых адресов:

Некорректная обработка почтовых адресов приводит к уязвимостям XSS в различных компонентах.

[20240205] – CVE-2024-21726 Core – Недостаточная фильтрация контента в коде фильтра:

Неправильная фильтрация контента вызывает уязвимости XSS в различных компонентах.

Эти уязвимости могут оказать серьезное влияние, поскольку примерно 2% всех веб-сайтов используют Joomla, и миллионы веб-сайтов по всему миру используют эту CMS. Компания по кибербезопасности Sonarsource, которая обнаружила проблему, приведшую к уязвимостям XSS в популярной системе управления контентом, сообщила: "Широкое использование Joomla и то, что большинство установок доступны публично, делает ее ценной целью для злоумышленников.