Plataforma
joomla
Componente
phoca_maps
Corrigido em
5.0.1
Várias vulnerabilidades de Cross-Site Scripting (XSS) foram descobertas no componente Phoca Maps para Joomla, afetando as versões 5.0.0 até 5.0.0-6.0.2. Essas falhas ocorrem na renderização de mapas e ícones, permitindo que um atacante injete scripts maliciosos que podem ser executados no navegador de outros usuários. É recomendável atualizar para a versão mais recente para corrigir essas vulnerabilidades.
A CVE-2026-23900 afeta o Phoca Maps para Joomla nas versões de 5.0.0 a 6.0.2, expondo os websites a múltiplas vulnerabilidades de Cross-Site Scripting (XSS) armazenadas. Estas vulnerabilidades residem na lógica de renderização de mapas e ícones, permitindo que um atacante injete código malicioso que é executado no navegador de outros utilizadores. O impacto pode variar desde o roubo de cookies e sessões, até a redirecionamento para websites maliciosos ou a modificação do conteúdo da página. A gravidade da vulnerabilidade depende da sensibilidade das informações que o website maneja e do nível de acesso que o atacante pode obter. A falta de uma solução disponível atualmente agrava o risco, exigindo medidas preventivas imediatas.
Um atacante pode explorar estas vulnerabilidades XSS armazenadas através da injeção de código malicioso através de formulários, campos de entrada ou qualquer outro ponto onde os utilizadores possam fornecer dados que são utilizados para gerar mapas ou ícones. Uma vez que o código malicioso é armazenado, ele será ativado quando outro utilizador aceder à página que contém o conteúdo malicioso. Isto pode ocorrer, por exemplo, ao carregar um mapa com um marcador personalizado que contém código XSS. A falta de validação e sanitização das entradas do utilizador permite que os atacantes contornem as defesas padrão e executem código arbitrário no contexto do utilizador alvo.
Status do Exploit
EPSS
0.04% (percentil 11%)
Como não existe uma solução oficial (fix) para a CVE-2026-23900, a mitigação centra-se em medidas preventivas. Recomenda-se vivamente atualizar para a versão mais recente disponível do Phoca Maps assim que estiver disponível. Enquanto isso, sugere-se implementar um filtro de entrada robusto para sanitizar os dados fornecidos pelos utilizadores que são utilizados na geração de mapas e ícones. Além disso, recomenda-se aplicar políticas de segurança de conteúdo (CSP) para restringir as fontes de scripts que podem ser executadas no website. Monitorizar ativamente o website em busca de atividades suspeitas e limitar o acesso às funções do Phoca Maps a utilizadores autorizados são também medidas cruciais.
Actualice el componente Phoca Maps a una versión posterior a 6.0.2 para mitigar las vulnerabilidades XSS. Consulte la documentación del proveedor en https://phoca.cz/ para obtener instrucciones detalladas sobre cómo actualizar.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
XSS (Cross-Site Scripting) é um tipo de vulnerabilidade de segurança que permite a atacantes injetarem scripts maliciosos em páginas web vistas por outros utilizadores.
Significa que o desenvolvedor do Phoca Maps ainda não lançou uma atualização que corrija esta vulnerabilidade. Isso requer medidas de mitigação alternativas.
Realize testes de penetração ou utilize ferramentas de escaneamento de vulnerabilidades para identificar possíveis pontos de entrada de XSS no seu website.
CSP (Content Security Policy) é uma camada de segurança que permite definir que fontes de conteúdo são permitidas para carregar numa página web, reduzindo o risco de XSS.
Isole o website, investigue o incidente, elimine qualquer código malicioso e notifique os utilizadores afetados.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.