知名的内容内容管理系统 (CMS) Joomla 日前发布安全公告披露 5 个高危级别的漏洞，这些漏洞可以在网站上执行任意代码，管理更新高危危害性非常高，系统修复因此使用 Joomla 的发布企业和站长应该立即更新。

下面是多个点网漏洞概览：

• CVE-2024-21722：当用户绑定的 MFA 多因素认证被修改后，无法自动终止会话
• CVE-2024-21723：当 URL 解析不正确时可能导致开放重定向
• CVE-2024-21724：媒体选择字段的漏洞输入验证不充分导致各种扩展存在 XSS 漏洞
• CVE-2024-21725：邮件地址转义不正确导致各个组件存在 XSS 漏洞
• CVE-2024-21726：过滤器代码中的内容过滤不充分导致多个 XSS 漏洞

Joomla 在安全公告中称，CVE-2024-21725 是请各风险最高的漏洞，因为这个漏洞具有很高的位站利用率，黑客可能可以通过特制的长立邮件地址来触发漏洞发起攻击。

远程代码执行漏洞：

CVE-2024-21726 是即升级蓝一个典型的跨站脚本攻击漏洞 (即 XSS)，该漏洞影响 Joomla 的内容核心过滤器组件，具有中等严重性和利用的管理更新高危可能性。不过研究人员 Stefan Schiller 则警告称，系统修复该漏洞也可以用来实现远程代码执行，发布实际危害程度更高。多个点网

例如攻击者可以通过钓鱼邮件的方式制作特定链接诱导具有权限的用户 (例如管理员) 点击链接进而远程代码执行。

有鉴于目前这些漏洞还具有较高的威胁性以及大多数网站可能还没完成升级，因此研究人员不愿透露这些漏洞的细节，避免被黑客用来发起攻击。

如果你使用 Joomla，请尽快升级到 4.4.3 版或 5.0.3 版，这两个版本均已修复这些漏洞，你可以点击这里查看安全公告并获得升级方法：https://www.joomla.org/announcements/release-news/5904-joomla-5-0-3-and-4-4-3-security-and-bug-fix-release.html

• ·致敬中国品牌日“好品中国”国家自主品牌行动妄想 天下启动仪式在“云”上乐成举行
• ·苦肃值得往的旅游景面保举
• ·《每天》导演组没有知田源退出 华晨宇刘昊然马可或减盟
• ·2022年秦岭白叶节时候及活动攻略
• ·沧州瑞杰纸箱机械即将亮相东光展会，共鉴包装机械新未来！
• ·启德有哪些景面值得往 必往玩耍的12个旅游景面
• ·2022国庆武汉往那里玩女比较好
• ·曝周杰伦拍mv吃霸王餐 拒付留宿费被烟雨江北宾馆告状
• ·超跑首发，庥可是至慕思6D8核超跑推拿椅广州宣告
• ·“Red Velvet”经纪人对粉丝骂净话 SM过后收声报歉
• ·东圆游戏文明周正式民宣 背天下掀示东圆游戏魅力
• ·重庆看银杏的处统统哪些
• ·电热毛巾架相关下场答疑，产物运用与选购
• ·田源微专讲歉 申请临时退出《每天背上》节目组(图)
• ·浑远旅游必往十大年夜景面 最值得玩耍的景面保举
• ·《杖与剑的魔剑谭》公开追加声优名单 关智一、游佐浩二