Joomla! 1.0.x < 3.9.3 多個弱點

critical Web App Scanning Plugin ID 98521

概要

Joomla! 1.0.x < 3.9.3 多個弱點

說明

根據應用程式自我報告的版本號碼,偵測到的 Joomla! 應用程式受到下列多個弱點影響:

- 多個核心元件中 URL 欄位的 XSS 弱點會影響 Joomla 2.5.0 至 3.9.2 版

- browserside mime 類型探查中的 XSS 弱點會影響 Joomla 1.0.0 至 3.9.2 版

- 「全域設定」中的「無篩選」文字篩選條件覆寫子設定會影響 Joomla 2.5.0 至 3.9.2 版

- 「全域設定」說明 url 中的儲存型 XSS 問題會影響 Joomla 2.5.0 至 3.9.2 版

- core.js writeDynaList 中的 XSS 問題會影響 Joomla 2.5.0 至 3.9.2 版

- 物件插入攻擊使用的 phar: // 資料流包裝函式會影響 Joomla 2.5.0 至 3.9.2 版

請注意,掃描程式並未測試這些問題,而是僅依據應用程式自我報告的版本號碼做出判斷。

解決方案

升級至 Joomla! 3.9.3 或最新版本。

另請參閱

https://developer.joomla.org/security-centre/765-20190201-core-lack-of-url-filtering-in-various-core-components.html

https://developer.joomla.org/security-centre/766-20190202-core-browserside-mime-type-sniffing-causes-xss-attack-vectors.html

https://developer.joomla.org/security-centre/767-20190203-core-additional-warning-in-the-global-configuration-textfilter-settings.html

https://developer.joomla.org/security-centre/768-20190204-core-stored-xss-issue-in-the-global-configuration-help-url-2.html

https://developer.joomla.org/security-centre/769-20190205-core-xss-issue-in-core-js-writedynalist.html

https://developer.joomla.org/security-centre/770-20190206-core-implement-the-typo3-phar-stream-wrapper.html

https://www.joomla.org/announcements/release-news/5756-joomla-3-9-3-release.html

Plugin 詳細資訊

嚴重性: Critical

ID: 98521

類型: remote

已發布: 2019/2/15

已更新: 2023/3/14

掃描範本: api, basic, full, pci, scan

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: High

基本分數: 7.5

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2019-7743

CVSS v3

風險因素: Critical

基本分數: 9.8

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVSS 評分資料來源: CVE-2019-7743

弱點資訊

CPE: cpe:2.3:a:joomla:joomla\!:*:*:*:*:*:*:*:*

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2019/2/12

弱點發布日期: 2019/2/12

參考資訊

CVE: CVE-2019-7739, CVE-2019-7740, CVE-2019-7741, CVE-2019-7742, CVE-2019-7743, CVE-2019-7744

BID: 107015, 107017, 107018, 107019, 107050, 107020