Katalog CVE

CVE-2023-54357

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.35%

Percentyl 26 — wyżej niż 26% wszystkich znanych CVE

Streszczenie

Komponent Joomla com_booking w wersji 2.4.9 zawiera podatność na ujawnienie informacji, która pozwala nieautoryzowanym atakującym na enumerację kont użytkowników. Atakujący mogą wykorzystać funkcję getUserData w kontrolerze klienta, wysyłając odpowiednie żądania GET.

Ocena ryzyka

Podatność ta może prowadzić do ujawnienia danych osobowych użytkowników, co zwiększa ryzyko ataków phishingowych oraz naruszenia prywatności. Organizacje mogą być narażone na utratę zaufania ze strony użytkowników.

Rekomendacja

Zaleca się aktualizację komponentu com_booking do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wprowadzić ograniczenia w dostępie do funkcji, które mogą ujawniać dane użytkowników.

Oryginalny opis (angielski, źródło NVD)

Joomla com_booking component 2.4.9 contains an information disclosure vulnerability that allows unauthenticated attackers to enumerate user accounts by exploiting the getUserData function in the customer controller. Attackers can send GET requests to index.php with option=com_booking, controller=customer, task=getUserData, and an id parameter to retrieve user names, usernames, and email addresses through brute force enumeration.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS