Recursos afectados:

Joomla! CMS, versiones desde 4.0.0 hasta 4.2.7.

Descripción:

El investigador Zewei Zhang, de NSFOCUS TIANJI Lab, ha notificado una vulnerabilidad crítica en la API de servicios web del core de Joomla! CMS.

Solución:

Instalar la versión 4.2.8 o actualizar a la misma desde una versión anterior en uso.

Tras el lanzamiento, el fabricante recomienda la renovación de las contraseñas de todas las credenciales almacenadas en la configuración global del sitio, a saber:

• database,
• SMTP,
• Redis,
• HTTP proxy.

Detalle:

Una comprobación de acceso incorrecta podría permitir el acceso no autorizado a los endpoints del servicio web de Joomla. Se ha asignado el identificador CVE-2023-23752 para esta vulnerabilidad.

Referencias:
https://www.joomla.org/announcements/release-news/5878-joomla-4-2-8-security-release.html
https://developer.joomla.org/security-centre/894-20230201-core-improper-access-check-in-webservice-endpoints.html