自己報告されたバージョン番号によると、リモートのWebサーバーで実行されているJoomla!インストールのバージョンは3.7.0より前です。したがって、以下の複数の脆弱性の影響を受けます。- メールヘッダーにPHPMailのバージョン情報が含まれているため、JMail APIに欠陥があります。認証されていないリモートの攻撃者がこれを悪用し、秘密情報を漏えいさせる可能性があります。（CVE-2017-7983）- 入力がユーザーに返される前に不適切に検証されているため、テンプレートマネジャーのコンポーネントにクロスサイトスクリプティング（XSS）の脆弱性があります。認証されていないリモートの攻撃者がこれを悪用し、特別に細工されたリクエストを介して、ユーザーのブラウザセッションで任意のスクリプトコードを実行する可能性があります。（CVE-2017-7984）- 入力がユーザーに返される前に不適切に検証されるため、マルチバイト文字を処理するときに、詳細不明のコンポーネントにクロスサイトスクリプティング（XSS）の脆弱性があります。認証されていないリモートの攻撃者がこれを悪用し、特別に細工されたリクエストを介して、ユーザーのブラウザセッションで任意のスクリプトコードを実行する可能性があります。（CVE-2017-7985）- 入力がユーザーに返される前に不適切に検証されているため、特定のHTML属性を処理するときに、詳細不明のコンポーネントにクロスサイトスクリプティング（XSS）の脆弱性があります。認証されていないリモートの攻撃者がこれを悪用し、特別に細工されたリクエストを介して、ユーザーのブラウザセッションで任意のスクリプトコードを実行する可能性があります。（CVE-2017-7986）- ファイルとフォルダ名の入力が、ユーザーに返される前に不適切に回避されるため、テンプレートマネージャーのコンポーネントにクロスサイトスクリプティング（XSS）の脆弱性があります。認証されていないリモートの攻撃者がこれを悪用し、特別に細工されたリクエストを介して、ユーザーのブラウザセッションで任意のスクリプトコードを実行する可能性があります。（CVE-2017-7987）- フォームコンテンツが不適切にサニタイズされているための欠陥があり、認証されていないリモートの攻撃者が記事の著者を上書きする可能性があります。（CVE-2017-7988）- MIMEタイプのチェックに欠陥があり、権限の低い認証されたリモートの攻撃者が、その権限レベルにそのアクションが許可されていない場合でも、SWFファイルをアップロードできる可能性があります。（CVE-2017-7989）- エラー報告が有効になっているシステム上のソフトウェアのインストールパスを、認証されていないリモートの攻撃者が漏えいできるようにする、複数の詳細不明なファイルがあります。（CVE-2017-8057）Nessusはこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

検出

Joomla! < 3.7.0の複数の脆弱性

medium Nessus プラグイン ID 99691

バージョン 1.14

バージョン 1.13

バージョン 1.12

バージョン 1.14 Dec 23, 2025, 2:38 PM CVSS metrics ("CVSSv3 score" set to 6.5) CVSS metrics ("CVSSv3 vector" set to "CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N") CVSSv3 score source (set to "CVE-2017-7989") Plugin Feed: 202512231438
バージョン 1.13 May 15, 2025, 5:17 AM Detection (remove script_exclude_keys for CGI scanning) Plugin Feed: 202505150517
バージョン 1.12 Jun 5, 2024, 1:32 PM Required Scan configuration ("Enable cgi scanning" set to "True") Plugin Feed: 202406051332