Joomla存在未授权访问漏洞【CVE-2023-23752】

免责声明

请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

Joomla未授权访问漏洞简介

Joomla是美国Open Source Matters团队的一套使用PHP和MySQL开发的开源、跨平台的内容管理系统(CMS)。

漏洞描述

Joomla 是一套使用 PHP 和 MySQL 开发的开源、跨平台的内容管理系统(CMS)。Joomla 4.0.0 至 4.2.7 版本中的 ApiRouter.php#parseApiRoute 在处理用户的 Get 请求时未对请求参数有效过滤，导致攻击者可向 Joomla 服务端点发送包含 public=true 参数的请求(如：/api/index.php/v1/config/application?public=true&key=value) 进行未授权访问

CVE编号:CVE-2023-23752
CNNVD编号:CNNVD-202302-1375
CNVD编号:

影响版本

Joomla 4.0.0版本至4.2.7版本存在安全漏洞

fofa查询语句

app=“Joomla”