In dem Content-Management-System Joomla wurden fünf Sicherheitslücken entdeckt, die es Angreifern ermöglichen könnten, beliebigen Code auf betroffenen Webseiten auszuführen. Der Hersteller hat die Sicherheitsprobleme behoben, die mehrere Versionen von Joomla betreffen; die Korrekturen sind in den Versionen 5.0.3 sowie 4.4.3 des CMS enthalten.
Die Schwachstellen umfassen unter anderem unzureichende Beendigung bestehender Benutzersitzungen bei Änderungen der MFA-Methoden eines Benutzers (CVE-2024-21722), unangemessene URL-Verarbeitung, die zu einer offenen Weiterleitung führen könnte (CVE-2024-21723), unzureichende Eingabevalidierung für Medienauswahlfelder, die zu Cross-Site-Scripting (XSS)-Schwachstellen in verschiedenen Erweiterungen führen (CVE-2024-21724), unzureichendes Escaping von E-Mail-Adressen, die zu XSS-Schwachstellen in verschiedenen Komponenten führen (CVE-2024-21725), und unzureichende Inhaltsfilterung innerhalb des Filtercodes, die zu mehreren XSS führt (CVE-2024-21726).
Laut Joomla stellt CVE-2024-21725 die Schwachstelle mit dem höchsten Sicherheitsrisiko dar und hat eine hohe Ausnutzungswahrscheinlichkeit.
Ein weiteres Problem, ein XSS, das als CVE-2024-21726 erfasst wurde, betrifft die Kernfilterkomponente von Joomla. Es hat eine moderate Schwere und Ausnutzungswahrscheinlichkeit, aber Stefan Schiller, ein Forscher für Sicherheitsanfälligkeiten bei dem Anbieter von Code-Inspektionstools Sonar, warnt, dass es zur Erreichung einer Remote-Code-Ausführung genutzt werden könnte.
„Angreifer können das Problem ausnutzen, um eine Remote-Code-Ausführung zu erreichen, indem sie einen Administrator dazu bringen, auf einen bösartigen Link zu klicken“, sagte Schiller.
XSS-Schwachstellen ermöglichen es Angreifern, bösartige Skripte in Inhalte einzufügen, die anderen Benutzern bereitgestellt werden, und ermöglichen in der Regel die Ausführung unsicherer Codes über den Browser des Opfers.
Die Ausnutzung der Schwachstelle erfordert eine Benutzerinteraktion. Ein Angreifer müsste einen Benutzer mit Administratorrechten dazu bringen, auf einen bösartigen Link zu klicken.
Obwohl die Benutzerinteraktion die Schwere der Sicherheitslücke verringert, sind Angreifer geschickt genug, um geeignete Lockmittel zu finden. Alternativ können sie sogenannte „Spray-and-Pray“-Angriffe starten, bei denen ein breiteres Publikum den bösartigen Links ausgesetzt wird in der Hoffnung, dass einige Benutzer darauf klicken.
Sonar hat keine technischen Details über die Schwachstelle und ihre Ausnutzung geteilt, um einer größeren Anzahl von Joomla-Administratoren die Möglichkeit zu geben, die verfügbaren Sicherheitsupdates anzuwenden.
„Während wir zu diesem Zeitpunkt keine technischen Details preisgeben werden, möchten wir die Wichtigkeit schnellen Handelns zur Minderung dieses Risikos betonen“, sagt Schiller im Alarm und betont, dass alle Joomla-Benutzer auf die neueste Version aktualisieren sollten.