检测

Joomla! 5.x < 5.1.2 多个漏洞

medium Web App Scanning 插件 ID 114373

语言:

简介

Joomla! 5.x < 5.1.2 多个漏洞

描述

根据应用程序自我报告的版本,远程 Web 服务器上运行的 Joomla! 实例版本为低于 3.10.16 的 3.x、低于 4.4.6 的 4.x 或低于 5.1.2 的 5.x。因此,该主机受到多个漏洞的影响。

 - 不充分的输入验证导致 accessiblemedia 字段中存在 XSS 漏洞。(CVE-2024-21729)

 - fancyselect 列表字段布局未正确转义输入,导致存在自 XSS 矢量。(CVE-2024-21730)

 - 输入处理不当可导致 StringHelper::truncate 方法中出现 XSS 矢量。(CVE-2024-21731)

 - 封装程序扩展未正确验证输入,导致存在 XSS 矢量。(CVE-2024-26279)

 - 自定义字段组件未正确筛选输入,导致存在 XSS 矢量。(CVE-2024-26278)

请注意,扫描程序并未测试这些问题,而是仅依据应用程序自我报告的版本号进行判断。

解决方案

升级版本到 Joomla! 5.1.2 或最新版本。

另见

https://developer.joomla.org/security-centre/935-20240701-core-xss-in-accessible-media-selection-field

https://developer.joomla.org/security-centre/936-20240702-core-self-xss-in-fancyselect-list-field-layout.html

https://developer.joomla.org/security-centre/937-20240703-core-xss-in-stringhelper-truncate-method.html

https://developer.joomla.org/security-centre/938-20240704-core-xss-in-wrapper-extensions.html

https://developer.joomla.org/security-centre/939-20240705-core-xss-in-com-fields-default-field-value.html

https://www.joomla.org/announcements/release-news/5909-joomla-5-1-2-and-joomla-4-4-6-security-and-bug-fix-release.html

插件详情

严重性: Medium

ID: 114373

类型: remote

发布时间: 2024/7/18

最近更新时间: 2024/9/6

扫描模板: api, basic, full, pci, scan

风险信息

VPR

风险因素: Low

分数: 3.0

CVSS v2

风险因素: Medium

基本分数: 6.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N

CVSS 分数来源: CVE-2024-21729

CVSS v3

风险因素: Medium

基本分数: 6.1

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

CVSS 分数来源: CVE-2024-21729

漏洞信息

CPE: cpe:2.3:a:joomla:joomla\!:*:*:*:*:*:*:*:*

易利用性: No known exploits are available

补丁发布日期: 2024/7/9

漏洞发布日期: 2024/7/8

参考资料信息

CVE: CVE-2024-21729, CVE-2024-21730, CVE-2024-21731, CVE-2024-26278, CVE-2024-26279