Platform
joomla
Component
phoca_maps
Opgelost in
5.0.1
Deze kwetsbaarheid betreft meerdere Cross-Site Scripting (XSS) kwetsbaarheden in de maps- en icon rendering logica van de Phoca Maps component voor Joomla. Aanvallers kunnen deze kwetsbaarheden misbruiken om kwaadaardige scripts te injecteren. De kwetsbaarheid treedt op in versies 5.0.0 tot en met 6.0.2. Er is momenteel geen officiële patch beschikbaar om dit probleem te verhelpen.
CVE-2026-23900 treft Phoca Maps voor Joomla in versies 5.0.0 tot en met 6.0.2, waardoor websites kwetsbaar worden voor meerdere opgeslagen Cross-Site Scripting (XSS)-kwetsbaarheden. Deze kwetsbaarheden bevinden zich in de logica voor het renderen van kaarten en iconen, waardoor een aanvaller kwaadaardige code kan injecteren die in de browser van andere gebruikers wordt uitgevoerd. De impact kan variëren van het stelen van cookies en sessies tot het doorverwijzen naar kwaadaardige websites of het wijzigen van de inhoud van de pagina. De ernst van de kwetsbaarheid hangt af van de gevoeligheid van de informatie die door de website wordt verwerkt en het niveau van toegang dat een aanvaller kan verkrijgen. Het ontbreken van een momenteel beschikbare oplossing verergert het risico en vereist onmiddellijke preventieve maatregelen.
Een aanvaller zou deze opgeslagen XSS-kwetsbaarheden kunnen exploiteren door kwaadaardige code te injecteren via formulieren, invoervelden of andere punten waar gebruikers gegevens kunnen verstrekken die worden gebruikt om kaarten of iconen te genereren. Zodra de kwaadaardige code is opgeslagen, wordt deze geactiveerd wanneer een andere gebruiker de pagina met de kwaadaardige inhoud bezoekt. Dit kan bijvoorbeeld gebeuren bij het laden van een kaart met een aangepaste markering die XSS-code bevat. Het ontbreken van validatie en sanitatie van gebruikersinvoer stelt aanvallers in staat om standaardverdedigingen te omzeilen en willekeurige code in de context van de doelgebruiker uit te voeren.
Exploit Status
EPSS
0.04% (11% percentiel)
Aangezien er geen officiële fix beschikbaar is voor CVE-2026-23900, richt de mitigatie zich op preventieve maatregelen. We raden ten zeerste aan om te upgraden naar de nieuwste beschikbare versie van Phoca Maps zodra deze beschikbaar is. In de tussentijd wordt het implementeren van een robuuste invoerfiltering aanbevolen om gebruikersgegevens te sanitiseren die worden gebruikt bij het genereren van kaarten en iconen. Het toepassen van Content Security Policies (CSP) om de bronnen van scripts die op de website kunnen worden uitgevoerd te beperken, wordt ook aanbevolen. Actief monitoren van de website op verdachte activiteiten en het beperken van de toegang tot Phoca Maps-functionaliteit tot geautoriseerde gebruikers zijn ook cruciale stappen.
Actualice el componente Phoca Maps a una versión posterior a 6.0.2 para mitigar las vulnerabilidades XSS. Consulte la documentación del proveedor en https://phoca.cz/ para obtener instrucciones detalladas sobre cómo actualizar.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
XSS (Cross-Site Scripting) is een type beveiligingskwetsbaarheid waarmee aanvallers kwaadaardige scripts in webpagina's kunnen injecteren die door andere gebruikers worden bekeken.
Dit betekent dat de Phoca Maps-ontwikkelaar nog geen update heeft uitgebracht die deze kwetsbaarheid oplost. Dit vereist alternatieve mitigeringsmaatregelen.
Voer penetratietests uit of gebruik kwetsbaarheidsscanners om potentiële XSS-ingangspunten op uw website te identificeren.
CSP (Content Security Policy) is een beveiligingslaag waarmee u kunt definiëren welke inhoudsbronnen op een webpagina mogen worden geladen, waardoor het risico op XSS wordt verminderd.
Isoleer de website, onderzoek het incident, verwijder alle kwaadaardige code en informeer de betrokken gebruikers.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.