Die Entwickler des Content Management Systems Joomla warnen vor einer ernstzunehmenden Sicherheitslücke im Core von Joomla4.
Zur Behebung gibt es jetzt ein Release 4.2.8, das die Lücke schließt. Die Problembeschreibung ist nicht besonders aussagekräftig: „An improper access check allows unauthorized access to webservice endpoints„, heißt es im Joomla Security Center. Medien berichten, dass es bislang keinen bekannten Fall gab, bei dem diese Sicherheitslücke ausgenutzt worden wäre. Das Problem wird allerdings als „critical“ beschrieben.
In der CVE-Datenbank gibt es einen entsprechenden Eintrag unter Nummer CVE-2023-23752 . Das Problem wurde zum ersten Mal am 13.2.2023 berichtet. Es betrifft die API (Programmierschnittstellen) für Webservices. Wer Zugangsdaten in der allgemeinen Konfiguration der Site abgelegt hat, dem wird empfohlen, diese zu ändern. Dies betrifft die Services database, SMTP, Redis und HTTP proxy.
Joomla Release 4.2.8 mit Patch ist hier verfügbar: https://downloads.joomla.org/