Plateforme
joomla
Composant
joomla
Corrigé dans
6.0.2
Une vulnérabilité de Cross-Site Scripting (XSS) a été découverte dans Joomla JLex Review version 6.0.1. Cette faille permet à un attaquant d'injecter des scripts malveillants dans les navigateurs des victimes en manipulant le paramètre review_id de l'URL. L'exploitation réussie peut entraîner le vol de session ou de données d'identification. La mise à jour vers une version corrigée est recommandée.
L'exploitation de cette vulnérabilité XSS permet à un attaquant d'injecter du code JavaScript arbitraire dans le contexte du site Joomla JLex Review. Un attaquant pourrait créer des liens malveillants contenant des payloads JavaScript qui, lorsqu'ils sont cliqués par un utilisateur, exécutent le code malveillant dans le navigateur de l'utilisateur. Cela peut permettre à l'attaquant de voler les cookies de session de l'utilisateur, de modifier le contenu de la page web affichée, ou de rediriger l'utilisateur vers un site web malveillant. Le risque est accru si l'application est utilisée pour gérer des informations sensibles ou si elle est intégrée à d'autres systèmes.
Cette vulnérabilité est publique depuis le 2026-04-09. Il n'y a pas d'indication d'une exploitation active à grande échelle à ce jour. Aucune entrée n'est visible dans le KEV de CISA. Des preuves de concept (PoC) pourraient être disponibles ou émerger rapidement en raison de la nature relativement simple de l'exploitation des vulnérabilités XSS.
Websites using Joomla CMS with the JLex Review component installed, particularly those with user-generated content or review systems, are at risk. Sites with weak input validation or inadequate security practices are especially vulnerable. Shared hosting environments where multiple websites share the same server resources are also at increased risk.
• joomla / server:
grep -r 'review_id=[^&]*' /var/log/apache2/access.log | grep -i 'javascript:'• generic web:
curl -I 'https://example.com/?review_id=<script>alert(1)</script>' | grep 'Content-Type:'disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 10%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour Joomla JLex Review vers la dernière version corrigée, dès que possible. En attendant la mise à jour, il est possible de mettre en place des mesures de protection temporaires. Il est recommandé de désactiver temporairement la fonctionnalité de revue si elle n'est pas essentielle. L'utilisation d'un Web Application Firewall (WAF) peut aider à bloquer les requêtes malveillantes contenant des payloads XSS. Surveillez attentivement les logs du serveur web pour détecter des tentatives d'injection de scripts et configurez des règles de pare-feu pour bloquer les adresses IP suspectes. Après la mise à jour, vérifiez que la vulnérabilité est bien corrigée en testant l'injection de scripts via le paramètre review_id.
Mettez à jour le composant JLex Review vers la dernière version disponible pour atténuer la vulnérabilité XSS. Consultez les notes de version pour obtenir des instructions de mise à jour spécifiques. De plus, validez et échappez correctement toutes les entrées utilisateur pour prévenir de futures vulnérabilités XSS.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2023-54360 is a reflected XSS vulnerability in Joomla JLex Review 6.0.1, allowing attackers to inject malicious scripts via the review_id URL parameter.
You are affected if you are using Joomla JLex Review version 6.0.1 and have not upgraded to a patched version.
Upgrade Joomla JLex Review to a patched version. Implement input validation and output encoding as a temporary workaround.
There is currently no evidence of active exploitation, but the vulnerability is easily exploitable and could be targeted in the future.
Refer to the official Joomla security advisories for updates and further details regarding CVE-2023-54360.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.