Platform
joomla
Component
joomla
Opgelost in
6.0.2
CVE-2023-54360 beschrijft een Reflected Cross-Site Scripting (XSS) kwetsbaarheid in Joomla JLex Review versie 6.0.1. Deze kwetsbaarheid stelt aanvallers in staat om kwaadaardige scripts te injecteren in de browser van een slachtoffer door de review_id URL parameter te manipuleren. De kwetsbaarheid is publiekelijk bekendgemaakt op 9 april 2026 en de impact kan variëren van sessie-overname tot het stelen van inloggegevens. Er is momenteel een patch beschikbaar.
Een succesvolle exploitatie van deze XSS kwetsbaarheid stelt een aanvaller in staat om willekeurige JavaScript code uit te voeren in de context van de Joomla website. Dit kan gebruikt worden om sessiecookies te stelen, gebruikers om te leiden naar kwaadaardige websites (phishing), of om de website te defacen. De impact is groter als de website gevoelige informatie bevat of als er veel gebruikers zijn die de website bezoeken. Het is vergelijkbaar met andere XSS kwetsbaarheden waarbij de aanvaller controle krijgt over de inhoud die de gebruiker ziet en kan manipuleren.
De kwetsbaarheid is publiekelijk bekendgemaakt. Er zijn momenteel geen bekende actieve campagnes die deze specifieke kwetsbaarheid exploiteren, maar XSS kwetsbaarheden zijn vaak doelwit van automatische scanners en exploit kits. De NVD datum is 2026-04-09. Er zijn geen KEV vermeldingen bekend.
Websites using Joomla CMS with the JLex Review component installed, particularly those with user-generated content or review systems, are at risk. Sites with weak input validation or inadequate security practices are especially vulnerable. Shared hosting environments where multiple websites share the same server resources are also at increased risk.
• joomla / server:
grep -r 'review_id=[^&]*' /var/log/apache2/access.log | grep -i 'javascript:'• generic web:
curl -I 'https://example.com/?review_id=<script>alert(1)</script>' | grep 'Content-Type:'disclosure
Exploit Status
EPSS
0.03% (10% percentiel)
CVSS-vector
De primaire mitigatie is het upgraden naar een beveiligde versie van Joomla JLex Review zodra deze beschikbaar is. Als een upgrade momenteel niet mogelijk is, kan een Web Application Firewall (WAF) worden geconfigureerd om de reviewid parameter te filteren en kwaadaardige scripts te blokkeren. Daarnaast kan inputvalidatie op de server-side worden geïmplementeerd om ervoor te zorgen dat de reviewid parameter alleen veilige waarden bevat. Controleer de Joomla documentatie voor specifieke configuratie-instructies.
Werk de JLex Review component bij naar de laatste beschikbare versie om de XSS kwetsbaarheid te mitigeren. Controleer de release notes voor specifieke update-instructies. Valideer en escape bovendien alle gebruikersinvoer correct om toekomstige XSS kwetsbaarheden te voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2023-54360 is a reflected XSS vulnerability in Joomla JLex Review 6.0.1, allowing attackers to inject malicious scripts via the review_id URL parameter.
You are affected if you are using Joomla JLex Review version 6.0.1 and have not upgraded to a patched version.
Upgrade Joomla JLex Review to a patched version. Implement input validation and output encoding as a temporary workaround.
There is currently no evidence of active exploitation, but the vulnerability is easily exploitable and could be targeted in the future.
Refer to the official Joomla security advisories for updates and further details regarding CVE-2023-54360.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.