nvd
Joomla
Уязвимости
963
Эксплуатируемые
2
Критический
43
Высокий
519
Топ продуктов
Топ уязвимостей
CVE-2012-6503Неуказанная уязвимость в компоненте NinjaXplorer до версии 1.0.7 для Joomla! имеет неизвестные последствия и векторы атак.
CVE-2010-5286Уязвимость SQL-инъекции в default.php в Cornerstone Technologies webConductor позволяет удаленным злоумышленникам выполнять произвольные SQL-команды через параметр id.
CVE-2008-5053Уязвимость удаленного включения файлов PHP в admin.rssreader.php в компоненте Simple RSS Reader (com_rssreader) 1.0 для Joomla! позволяет удаленным злоумышленникам выполнять произвольный код PHP через URL в параметре mosConfig_live_site.
CVE-2008-3225Joomla! до версии 1.5.4 позволяет злоумышленникам получать доступ к административной функциональности, что имеет неизвестное воздействие и векторы атак, связанные с отсутствующим "исправлением безопасности LDAP".
CVE-2007-1699Множественные уязвимости удаленного включения файлов PHP в компоненте SWmenu (com_swmenupro и com_swmenufree) 4.0 для Mambo и Joomla! позволяют удаленным злоумышленникам выполнить произвольный код PHP через URL в параметре mosConfig_absolute_path в ImageManager/Classes/ImageManager.php в каталогах (1) components/ или (2) administrator/components/.
CVE-2006-4996Неуказанная уязвимость в JoomlaLib (com_joomlalib) до 1.2.2 для Joomla! позволяет удаленным злоумышленникам оказывать неизвестное воздействие, связанное с "Joomla globals hacked by script kiddies".
CVE-2006-1047Неуказанная уязвимость в "Функциональности входа в систему Remember Me" в Joomla! 1.0.7 и более ранних версиях имеет неизвестное воздействие и векторы атак.
CVE-2006-0303Множественные неуказанные уязвимости в (1) компоненте публикации, (2) компоненте Contact, (3) TinyMCE Compressor и (4) других компонентах в Joomla! 1.0.5 и более ранних версиях имеют неизвестное воздействие и векторы атак.
CVE-2005-3773Неуказанная уязвимость в Joomla! до версии 1.0.4 имеет неизвестное воздействие и векторы атак, связанные с "потенциальным неправильным использованием функций управления файлами компонента Media".
CVE-2026-48902Функции сброса пароля и имени пользователя создавали простые http-ссылки для соединений https, если флаг «Force SSL» не был явно установлен.
CVE-2025-25226Ненадлежащая обработка идентификаторов привела к уязвимости SQL-инъекции в методе quoteNameStr пакета базы данных. Обратите внимание: затронутый метод является защищенным методом. Он не используется в исходных пакетах ни в ветке 2.x, ни в 3.x, и поэтому рассматриваемая уязвимость не может быть эксплуатирована при использовании исходного класса базы данных. Однако классы, расширяющие затронутый класс, могут быть затронуты, если используется уязвимый метод [1].
Источники:
- [1] https://developer.joomla.org/security-centre/963-20250401-framework-sql-injection-vulnerability-in-quotenamestr-method-of-database-package.html
CVE-2022-23799Проблема была обнаружена в Joomla! 4.0.0 через 4.1.0. При определенных обстоятельствах JInput загрязняет специфичные для метода входные пакеты данными $_REQUEST.
CVE-2022-23797Проблема была обнаружена в Joomla! 3.0.0 через 3.10.6 и 4.0.0 через 4.1.0. Неадекватная фильтрация выбранных идентификаторов в запросе может привести к возможной SQL-инъекции.
CVE-2022-23795Проблема была обнаружена в Joomla! 2.5.0 через 3.10.6 и 4.0.0 через 4.1.0. Строка пользователя не была привязана к конкретному механизму аутентификации, что при очень особых обстоятельствах могло позволить захватить учетную запись.
CVE-2020-35613Проблема обнаружена в Joomla! версий 3.0.0–3.9.22. Неправильная конфигурация черного списка фильтров приводит к уязвимости SQL-инъекции в списке пользователей серверной части.
CVE-2020-10243Обнаружена проблема в Joomla! до версии 3.9.16. Отсутствие приведения типов переменной в операторе SQL приводит к уязвимости SQL-инъекции во внешнем интерфейсе Featured Articles.
CVE-2019-7743Обнаружена проблема в Joomla! до 3.9.3. Stream wrapper phar:// может использоваться для атак внедрения возражений, поскольку отсутствует механизм защиты (такой как TYPO3 PHAR stream wrapper) для предотвращения использования обработчика phar:// для файлов, отличных от .phar.
CVE-2019-19846В Joomla! до 3.9.14 отсутствие валидации параметров конфигурации, используемых в SQL-запросах, вызвало различные векторы SQL-инъекций.
CVE-2019-12765В Joomla! до версии 3.9.7 обнаружена проблема. Экспорт CSV com_actionslogs уязвим для инъекции CSV.
CVE-2019-11831Пакет PharStreamWrapper (aka phar-stream-wrapper) 2.x до версии 2.1.1 и 3.x до версии 3.1.1 для TYPO3 не предотвращает обход каталогов, что позволяет злоумышленникам обходить механизм защиты от десериализации, как показано на примере URL-адреса phar:///path/bad.phar/../good.phar.
CVE-2019-10945Проблема обнаружена в Joomla! до версии 3.9.5. Компонент Media Manager неправильно обрабатывает параметр папки, что позволяет злоумышленникам действовать за пределами корневого каталога media manager.
CVE-2018-6376В Joomla! до 3.8.4 отсутствие приведения типа переменной в SQL-запросе приводит к уязвимости SQL-инъекции в сообщении Hathor postinstall.
CVE-2018-15882Обнаружена проблема в Joomla! до 3.8.12. Недостаточные проверки в классе InputFilter могут позволить специально подготовленным phar-файлам пройти фильтр загрузки.
CVE-2018-11325Обнаружена проблема в Joomla! Core до версии 3.8.8. Приложение веб-установки автоматически заполняло поля паролей после ошибки проверки формы или перехода к предыдущему шагу установки и отображало пароль в виде обычного текста для учетной записи администратора на экране подтверждения.
CVE-2017-8917Уязвимость SQL-инъекции в Joomla! 3.7.x до 3.7.1 позволяет злоумышленникам выполнять произвольные SQL-команды через неуказанные векторы.