Joomla XSS-Lücken: Risiko für Millionen Websites

Joomla
Bildquelle: Postmodern Studio / Shutterstock.com

In dem weit verbreiteten Content-Management-System (CMS) Joomla wurden kürzlich fünf Sicherheitslücken identifiziert, die es Angreifern ermöglichen könnten, Code auf Websites auszuführen. Das Joomla-Entwicklerteam hat umgehend reagiert und Updates bereitgestellt, die diese Schwachstellen adressieren.

In dem Content-Management-System wurden fünf Sicherheitslücken entdeckt, die der Anbieter mittlerweile behoben hat. Das waren die Schwachstellen:

Anzeige
  • CVE-2024-21722: Die Verwaltungsfunktionen für die Mehrfachauthentifizierung beendeten bestehende Benutzersitzungen nicht ordnungsgemäß, sobald Änderungen an den MFA-Methoden eines Nutzers vorgenommen wurden.
  • CVE-2024-21723: Eine unzureichende Analyse von URLs könnte zu einer offenen Weiterleitung führen.
  • CVE-2024-21724: Eine mangelhafte Eingabeüberprüfung bei den Medienauswahlfeldern führte zu Cross-Site-Scripting (XSS)-Schwachstellen in verschiedenen Erweiterungen.
  • CVE-2024-21725: Ein unzureichendes Escaping von E-Mail-Adressen verursachte XSS-Schwachstellen in verschiedenen Komponenten.
  • CVE-2024-21726: Eine unzureichende Inhaltsfilterung innerhalb des Filtercodes führte zu mehreren XSS-Schwachstellen.

Besonders hervorgehoben wird von den Entwicklern die Cross-Site-Scripting-Schwachstelle CVE-2024-21725, die aufgrund ihres hohen Schweregrads und der hohen Wahrscheinlichkeit einer Ausnutzung als besonders kritisch eingestuft wird. Eine weitere XSS-Schwachstelle, CVE-2024-21726, betrifft die Kernfilterkomponente von Joomla und weist ein moderates Risiko mit entsprechender Ausnutzungswahrscheinlichkeit auf.

Rund 2 % aller Websites werden mit Joomla betrieben. Die meisten davon sind öffentlich zugänglich. Das macht sie zu einem attraktiven Ziel für Angreifer. Das Problem ist in den veröffentlichten Joomla-Versionen 5.0.3/4.4.3 gepatcht. Anwender sollten so schnell wie möglich aktualisieren.

Anzeige

Lars

Becker

Redakteur

IT Verlag GmbH

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.