知名的内容内容管理系统 (CMS) Joomla 日前发布安全公告披露 5 个高危级别的漏洞，这些漏洞可以在网站上执行任意代码，管理更新高危危害性非常高，系统修复陕西黄龙县天气预报因此使用 Joomla 的发布企业和站长应该立即更新。

下面是多个点网漏洞概览：

• CVE-2024-21722：当用户绑定的 MFA 多因素认证被修改后，无法自动终止会话
• CVE-2024-21723：当 URL 解析不正确时可能导致开放重定向
• CVE-2024-21724：媒体选择字段的漏洞输入验证不充分导致各种扩展存在 XSS 漏洞
• CVE-2024-21725：邮件地址转义不正确导致各个组件存在 XSS 漏洞
• CVE-2024-21726：过滤器代码中的内容过滤不充分导致多个 XSS 漏洞

Joomla 在安全公告中称，CVE-2024-21725 是请各风险最高的漏洞，因为这个漏洞具有很高的位站利用率，黑客可能可以通过特制的长立邮件地址来触发漏洞发起攻击。

远程代码执行漏洞：

CVE-2024-21726 是即升级蓝陕西黄龙县天气预报一个典型的跨站脚本攻击漏洞 (即 XSS)，该漏洞影响 Joomla 的内容核心过滤器组件，具有中等严重性和利用的管理更新高危可能性。不过研究人员 Stefan Schiller 则警告称，系统修复该漏洞也可以用来实现远程代码执行，发布实际危害程度更高。多个点网

例如攻击者可以通过钓鱼邮件的方式制作特定链接诱导具有权限的用户 (例如管理员) 点击链接进而远程代码执行。

有鉴于目前这些漏洞还具有较高的威胁性以及大多数网站可能还没完成升级，因此研究人员不愿透露这些漏洞的细节，避免被黑客用来发起攻击。

如果你使用 Joomla，请尽快升级到 4.4.3 版或 5.0.3 版，这两个版本均已修复这些漏洞，你可以点击这里查看安全公告并获得升级方法：https://www.joomla.org/announcements/release-news/5904-joomla-5-0-3-and-4-4-3-security-and-bug-fix-release.html