Joomla Solidres 2.13.3 bevat een reflected cross-site scripting (XSS) kwetsbaarheid waardoor niet-geauthenticeerde aanvallers kwaadaardige scripts kunnen injecteren door meerdere GET parameters te manipuleren, waaronder show, reviews, type_id, distance, facilities, categories, prices, location en Itemid. Aanvallers kunnen kwaadaardige URL's maken met JavaScript payloads in deze parameters om sessietokens, login-credentials te stelen of de inhoud van de site te manipuleren wanneer slachtoffers op de geconstrueerde links klikken.

De impact van deze XSS-kwetsbaarheid is aanzienlijk. Een aanvaller kan kwaadaardige JavaScript-code injecteren in de URL's van de Joomla Solidres-module. Wanneer een gebruiker deze URL bezoekt, wordt de code uitgevoerd in de context van de website. Dit kan misbruikt worden om sessiecookies te stelen, waardoor de aanvaller zich kan voordoen als de gebruiker. Verder kan de aanvaller de website-inhoud manipuleren, bijvoorbeeld door schadelijke advertenties weer te geven of de gebruiker om te leiden naar een phishing-pagina. De kwetsbaarheid is eenvoudig te exploiteren, aangezien geen authenticatie vereist is om de kwaadaardige URL's te creëren.

Websites using Joomla CMS with the Solidres extension installed, particularly those with public-facing forms or search functionalities that rely on GET parameters. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromised website could potentially be used to attack other websites on the same server.

• joomla / wordpress: Review access logs for GET requests containing unusual or suspicious JavaScript code in parameters like 'show', 'reviews', 'type_id', 'distance', 'facilities', 'categories', 'prices', 'location', and 'Itemid'.

 grep -i 'javascript:' /var/log/apache2/access.log |
 grep 'solidres'

• generic web: Use curl to test various GET parameters with JavaScript payloads and observe the response for signs of script execution.

curl 'https://example.com/solidres/?show=<script>alert("XSS")</script>'

• generic web: Examine response headers for unexpected Content-Security-Policy (CSP) directives that might be bypassed by the XSS vulnerability.

curl -I https://example.com/solidres/

1. 2026-04-09Disclosure

   disclosure

1. Gereserveerd2026-04-09
2. Gepubliceerd2026-04-09
3. Gewijzigd2026-04-15
4. EPSS bijgewerkt2026-04-17

De primaire mitigatie voor CVE-2023-54363 is het upgraden van Joomla Solidres naar een gepatchte versie. Controleer de officiële Joomla-website of de Solidres-documentatie voor de meest recente versie met de correctie. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) om de GET-parameters te filteren en kwaadaardige scripts te blokkeren. Configureer de WAF om inputvalidatie toe te passen op de parameters 'show', 'reviews', 'type_id', 'distance', 'facilities', 'categories', 'prices', 'location' en 'Itemid'. Bovendien kan het beperken van de toegestane karakterreeksen in deze parameters helpen om de aanvalsoppervlakte te verkleinen.