一、事件描述

近日，广西教育系统网络安全监测中心监测到国家信息安全漏洞共享平台（CNVD）收录了Joomla未授权访问漏洞（CNVD-2023-11024，对应CVE-2023-23752）。未经授权的攻击者可远程利用该漏洞获得服务器敏感信息。目前，该漏洞的利用细节和测试代码已公开，厂商已发布新版本完成修复。CNVD建议受影响的单位和用户立即升级到最新版本。

Joomla是由Open Source Matters开源组织研发和维护的知名内容管理系统（CMS），它使用PHP语言和MySQL数据库开发，兼容Linux、Windows、MacOSX等多种系统平台。

近日，Joomla官方发布安全公告，修复了Joomla未授权访问漏洞。由于Joomla对Web服务端点缺乏必要的访问限制，未经身份认证的攻击者，可以远程利用此漏洞访问服务器REST API接口，造成服务器敏感信息泄露。

二、影响范围

漏洞影响的产品和版本：4.0.0 <= Joomla <= 4.2.7。

三、漏洞等级

广西教育系统网络安全监测中心将该漏洞评级为高危。

四、安全建议

目前，Joomla官方已发布新版本修复该漏洞，CNVD建议受影响的单位和用户立即升级至 4.2.8 及以上版本：

https://downloads.joomla.org/

https://github.com/joomla/joomla-cms/releases/tag/4.2.8