2023年2月22日，国家信息安全漏洞共享平台（CNVD）收录了Joomla未授权访问漏洞（CNVD-2023-11024，对应CVE-2023-23752）。未经授权的攻击者可远程利用该漏洞获得服务器敏感信息。目前，该漏洞的利用细节和测试代码已公开，厂商已发布新版本完成修复。CNVD建议受影响的单位和用户立即升级到最新版本。

一、漏洞情况分析

Joomla是由Open Source Matters开源组织研发和维护的知名内容管理系统（CMS），它使用PHP语言和MySQL数据库开发，兼容Linux、Windows、MacOSX等多种系统平台。

近日，Joomla官方发布安全公告，修复了Joomla未授权访问漏洞。由于Joomla对Web服务端点缺乏必要的访问限制，未经身份认证的攻击者，可以远程利用此漏洞访问服务器REST API接口，造成服务器敏感信息泄露。

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

漏洞影响的产品和版本：

4.0.0 <= Joomla <= 4.2.7

三、漏洞处置建议

目前，Joomla官方已发布新版本修复该漏洞，CNVD建议受影响的单位和用户立即升级至4.2.8及以上版本：

https://downloads.joomla.org/

https://github.com/joomla/joomla-cms/releases/tag/4.2.8

来源：国家信息安全漏洞共享平台