CVE-2023-23752:Joomla未授权访问漏洞复现

已于 2023-11-22 17:48:13 修改
阅读量1.9k 收藏 5
点赞数
CC 4.0 BY-SA版权
分类专栏: 漏洞复现2 漏洞复现 文章标签: 安全 系统安全 网络安全 web安全
于 2023-09-01 17:08:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48539059/article/details/132626702
本文详细介绍了CVE-2023-23752,这是一个影响Joomla 4.0.0至4.2.7的安全漏洞,允许未经授权的访问。通过环境搭建和POC演示,展示了如何复现这个身份验证绕过漏洞,从而可能导致信息泄露。建议用户升级到4.2.8及以上版本以修复问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

CVE-2023-23752:Joomla未授权访问漏洞复现

前言

本次测试仅供学习使用,如若非法他用,与本文作者无关,需自行负责!!!

一.Openfire简介

Joomla是一个免费的开源内容管理系统(CMS),允许用户构建网站和在线应用程序。它于 2005 年首次发布,此后成为最受欢迎的 CMS 平台之一,为全球数百万个网站提供支持。

二.漏洞简述

在 Joomla! 4.0.0 到 4.2.7 中发现了一个问题。不正确地访问检查允许对 Web 服务终结点进行未经授权的访问。

三.漏洞原理

CVE-2023-23752 是身份验证绕过,导致 Joomla 信息泄露。

四.影响版本

4.0.0 <= Joomla <= 4.2.7

五.环境搭建

在kali的doc

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Joomla存在未授权访问漏洞CVE-2023-23752
holyxp的博客
06-27 931
Joomla是美国Open Source Matters团队的一套使用PHP和MySQL开发的开源、跨平台的内容管理系统(CMS)。
漏洞复现Joomla未授权访问漏洞(CVE-2023-23752)
李火火的安全圈
05-05 1449
Joomla是一套全球知名的内容管理系统(CMS),其使用PHP语言加上MySQL数据库所开发,可以在Linux、Windows、MacOSX等各种不同的平台上运行。在 Joomla! 版本为4.0.0 到 4.2.7中发现了一个漏洞,由于对web 服务端点访问限制不当,可能导致未授权访问Rest API,造成敏感信息泄露(如数据库账号密码等)。远程攻击者可以绕过安全限制获得Web应用程序敏感信息。
漏洞复现CVE-2023-23752 Joomla权限绕过漏洞
m0_53121608的博客
07-16 505
漏洞复现CVE-2023-23752 Joomla权限绕过漏洞
Joomla权限绕过漏洞CVE-2023-23752)vulhub漏洞复现
qq_53003652的博客
07-07 1289
Joomla是一个开源免费的内容管理系统(CMS),基于PHP开发。在其4.0.0版本到4.2.7版本中,存在一处属性覆盖漏洞,导致攻击者可以通过恶意请求绕过权限检查,访问任意Rest API。可获取网站最重要的配置信息,包含数据库的账号与密码。即可看到joomla页面。可获取所有用户的信息。
[春秋云镜] CVE-2023-23752 writeup
最新发布
I_WORM的博客
05-30 500
[春秋云镜] CVE-2023-23752 writeup
Joomla未授权访问漏洞CVE-2023-23752
dahege666的博客
03-23 3556
漏洞复现
Joomla未授权访问漏洞|CVE-2023-23752复现及修复
深耕网络安全领域,聚焦护网行动(HW)、渗透测试、等级保护(等保)、CTF 竞赛四大核心方向,提供技术干货、实战经验与行业洞察。
03-16 2943
Joomla 4.0.0 至 4.2.7 版本中的 ApiRouter.php#parseApiRoute 在处理用户的 Get 请求时未对请求参数有效过滤,导致攻击者可向 Joomla 服务端点发送包含 public=true 参数的请求(如:/api/index.php/v1/config/application?本公众号的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。
CVE复现计划】CVE-2023-23752
m0_63138919的博客
03-31 1603
本文以春秋云镜为靶场,进行该CVE-2023-23752漏洞原理学习,记录自己学习过程,还请大佬们师傅们指出文中错误
Joomla未授权访问CVE-2023-23752
weixin_51387754的博客
04-05 647
Joomla! 版本为4.0.0 到 4.2.7中发现了一个漏洞,在Joomla受影响的版本中由于对Web服务端点的访问限制不当,远程攻击者可以绕过安全限制获得Web应用程序敏感信息。
Joomla 3.4.5 反序列化漏洞
qq_41048303的博客
12-29 2465
Joomla 3.4.5 反序列化漏洞 1.漏洞原理 ​ 本漏洞根源是PHP5.6.13前的版本在读取存储号的session时,如果反序列化出错则会跳过当前一段数据而去反序列化下一段数据。而Joomla将session存储在Mysql数据库中,编码是utf8,当我们插入4字节的utf8数据时则会导致截断。截断后的数据在反序列化时就会失败,最后触发反序列化漏洞。 2.漏洞环境 docker-compose up -d # 启动后访问http://192.168.184.130:8080/ ​ 3.漏洞
[ 漏洞复现篇 ] Joomla未授权访问Rest API漏洞(CVE-2023-23752)
qq_51577576的博客
03-21 6948
[ 漏洞复现篇 ] Joomla未授权访问Rest API漏洞(CVE-2023-23752)
CVE-2015-7857 Joomla注入漏洞利用工具
04-18
CVE-2015-7857 Joomla注入漏洞利用工具,有需要自行下载
joomla漏洞利用代码
12-29
joomla漏洞利用代码,影响版本joomla1.5-3.4.最开始检测到利用该漏洞实施入侵的是 Securi 安全团队
CVE-2023-23752
Dikesi的博客
02-08 517
Joomla 未授权访问漏洞
Joomla3.7.0 (CVE-2017-8917) SQL注入漏洞复现
weixin_42786460的博客
09-01 2210
Joomla3.7.0 (CVE-2017-8917) SQL注入漏洞复现
漏洞复现-Joomla
aming小老弟
10-03 555
渗透
Joomla远程代码执行(RCE)漏洞复现
Yanug
05-07 1212
一、漏洞描述 Joomla是一套内容管理系统,是使用PHP语言加上MySQL数据库所开发的软件系统,最新版本为3.9.11,可以在Linux、Windows、MacOSX等各种不同的平台上执行,在CMS评测中获得“最佳开源CMS”奖! 1、该CMS对函数过滤不严,导致了远程代码执行漏洞,该漏洞可能导致服务器被入侵、信息泄露等严重风险。 2、漏洞位于根目录下的configuration.php ,漏...
【春秋云镜】CVE-2023-23752
weixin_49064458的博客
11-04 1392
漏洞出现在 Joomla 4.0.0 至 4.2.7 版本中,允许未经认证的远程攻击者通过特定 API 端点读取服务器上的敏感文件,包括配置文件等,这可能会导致服务器上的敏感信息泄露和进一步的攻击。攻击者通过利用路径遍历技巧向 Joomla 的 API 端点发送特定请求,可以直接访问和读取 Joomla 服务器的敏感文件,如 configuration.php 文件,其中可能包含数据库凭据、加密密钥等关键信息。通过请求配置文件,攻击者能够获取服务器的数据库连接信息、加密密钥等敏感数据。
Joomla框架搭建&远程代码执行(RCE)漏洞复现
茶寂的博客
12-26 3159
一、漏洞描述 Joomla是一套内容管理系统,是使用PHP语言加上MYSQL数据库所开发的软件系统,最新版本为3.9.12,官网: https://downloads.joomla.org/,漏洞位于根目录下的configuration.php,由于该CMS对函数过滤不严格,导致了远程代码执行漏洞,该漏洞可能导致服务器被入侵、信息泄露等严重风险。 二、漏洞影响版本 Joomla 3.0.0-3.4.6 三、漏洞环境搭建 靶机:WIN10 攻击机:kali 1.下载Joomla3.4.6,链接如下: http
Joomla未授权访问漏洞PoC:CVE-2023-23752扫描工具
最近,在2023年2月16日,Joomla官方发布了一项安全更新,修复了一个重要的未授权访问漏洞,其CVE编号为CVE-2023-23752Joomla CMS版本4.0.0至4.2.7中存在一个安全漏洞。由于对Web服务端点的访问限制不当,攻击者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

gaynell

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值