Joomla! < 3.6.1 多个漏洞

medium Nessus 插件 ID 92871

简介

远程 Web 服务器包含受到多个漏洞影响的 PHP 应用程序。

描述

根据其自我报告的版本号,远程 Web 服务器上运行的 Joomla! 安装版本低于 3.6.1。因此,该服务器受到多个漏洞的影响:

- Mail 组件中存在一个跨站脚本 (XSS) 漏洞,原因是在将输入返回给用户之前未进行正确审查。未经身份验证的远程攻击者可利用此问题,通过特制的请求,在用户浏览器会话中执行任意脚本代码。

- com_content 组件中存在一个信息泄露漏洞,原因是未充分检查访问控制列表 (ACL)。远程攻击者可利用此漏洞披露敏感信息。

- 由于在执行某些敏感操作时无法要求多个步骤、明确确认或唯一标记,com_joomlaupdate 组件中存在一个跨站请求伪造 (XSRF) 漏洞。
远程攻击者可利用此漏洞,通过诱使用户访问特别构建的链接,导致用户执行不明操作。请注意,此问题仅影响 3.6.0 版本。

请注意,Nessus 尚未测试这些问题,而是只依靠应用程序自我报告的版本号。

解决方案

升级到 Joomla! 3.6.1 或更高版本。

另见

http://www.nessus.org/u?e91ac130

http://www.nessus.org/u?7370ce7d

http://www.nessus.org/u?21440bbe

http://www.nessus.org/u?239b57c1

插件详情

严重性: Medium

ID: 92871

文件名: joomla_361.nasl

版本: 1.14

类型: remote

系列: CGI abuses

发布时间: 2016/8/11

最近更新时间: 2025/5/14

配置: 启用偏执模式, 启用全面检查 (optional)

支持的传感器: Nessus

Enable CGI Scanning: true

漏洞信息

CPE: cpe:/a:joomla:joomla%5c%21

必需的 KB 项: www/PHP, Settings/ParanoidReport, installed_sw/Joomla!

补丁发布日期: 2016/8/3

漏洞发布日期: 2016/8/3

参考资料信息

BID: 92340, 92342