Joomla 内容管理系统中发现了五个数据泄露漏洞，可用于在易受攻击的网站上执行任意代码。开发人员已经通过 在版本 5.0.3 和 4.4.3 中 发布 CMS修复程序来修复这些影响 Joomla 多个版本的安全问题。

CVE-2024-21722 ：当用户的多重身份验证 (MFA) 方法发生更改时， MFA 管理功能；CVE-2024-21723 ：不正确的 URL 解析可能导致开放重定向；CVE-2024-21724 ：媒体选择字段的输入验证不当会导致各种扩展中存在跨站脚本 ( XSS ) 漏洞；CVE-2024-21725 ：电子邮件地址的不当转义会导致各种组件中存在 XSS 漏洞。被 利用的可能性很高；

Joomla 通报指出，XSS 漏洞 CVE-2024-21726 影响核心 Joomla 过滤器组件，被利用的可能性中等。然而， 根据Sonar 的说法 ，该缺陷可以被利用来实现远程代码执行。攻击者可以通过诱骗管理员单击恶意链接来利用此漏洞。虽然利用需要用户交互，但攻击者可以使用各种技巧来吸引管理员的注意或发起所谓的“喷雾和祈祷”攻击，希望某些用户点击恶意链接。

Sonar 没有透露该漏洞的技术细节，以便让更多的 Joomla 管理员应用可用的安全更新。Sonar 强调立即采取行动降低风险的重要性，并强烈建议所有 Joomla 用户更新到最新版本。

（来源：安全客 - 有思想的安全新媒体）