CVE-2023-54357
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 26 — wyżej niż 26% wszystkich znanych CVE
Streszczenie
Komponent Joomla com_booking w wersji 2.4.9 zawiera podatność na ujawnienie informacji, która pozwala nieautoryzowanym atakującym na enumerację kont użytkowników. Atakujący mogą wykorzystać funkcję getUserData w kontrolerze klienta, wysyłając odpowiednie żądania GET.
Ocena ryzyka
Podatność ta może prowadzić do ujawnienia danych osobowych użytkowników, co zwiększa ryzyko ataków phishingowych oraz naruszenia prywatności. Organizacje mogą być narażone na utratę zaufania ze strony użytkowników.
Rekomendacja
Zaleca się aktualizację komponentu com_booking do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wprowadzić ograniczenia w dostępie do funkcji, które mogą ujawniać dane użytkowników.
Oryginalny opis (angielski, źródło NVD)
Joomla com_booking component 2.4.9 contains an information disclosure vulnerability that allows unauthenticated attackers to enumerate user accounts by exploiting the getUserData function in the customer controller. Attackers can send GET requests to index.php with option=com_booking, controller=customer, task=getUserData, and an id parameter to retrieve user names, usernames, and email addresses through brute force enumeration.

