الثغرات ›

CVE-2023-54362

متوسط

CWE-79 — نوع الضعف

                    نُشر: Apr 9, 2026                      ·  آخر تحديث: Apr 12, 2026                      ·  المصدر: NVD                

CVSS v3

6.1

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Joomla VirtueMart Shopping-Cart 4.0.12 contains a reflected cross-site scripting vulnerability that allows attackers to inject malicious scripts by manipulating the keyword parameter. Attackers can craft malicious URLs containing script payloads in the keyword parameter of the product-variants endpoint to execute arbitrary JavaScript in victim browsers and steal session tokens or credentials.

🤖 ملخص AI

CVE-2023-54362 is a reflected XSS vulnerability in Joomla VirtueMart 4.0.12 affecting the product-variants endpoint through the keyword parameter. Attackers can craft malicious URLs to execute arbitrary JavaScript in victim browsers, potentially stealing session tokens and credentials. With no patch available and medium CVSS score of 6.1, organizations must implement immediate compensating controls.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 23, 2026 14:55

🇸🇦 التأثير على المملكة العربية السعودية

Saudi e-commerce and retail organizations using Joomla VirtueMart are at direct risk, particularly small-to-medium enterprises (SMEs) in the retail sector and online marketplaces. Banking and payment processing sectors are at elevated risk if VirtueMart integrates with payment gateways. Government e-commerce portals and ARAMCO subsidiary online platforms could be compromised. Telecom sector (STC, Mobily) e-commerce platforms are vulnerable if running affected versions. Session hijacking could lead to unauthorized access to customer accounts and financial fraud.

🏢 القطاعات السعودية المتأثرة

Retail and E-commerce Banking and Financial Services Government and Public Sector Energy (ARAMCO subsidiaries) Telecommunications (STC, Mobily) Healthcare (online services) Hospitality and Tourism

🎯 تقنيات MITRE ATT&CK

T1598.003 - Phishing: Spearphishing Link T1566.002 - Phishing: Phishing Link T1059.007 - Command and Scripting Interpreter: JavaScript T1185 - Man in the Browser T1539 - Steal Web Session Cookie T1056.004 - Interaction with User: Capture from Input Device

⚖️ درجة المخاطر السعودية (AI)

6.8

/ 10.0

🔧 Remediation Steps (English)

Immediate Actions:

1. Identify all Joomla VirtueMart 4.0.12 installations across your organization

2. Disable public access to product-variants endpoint if not critical to operations

3. Implement Web Application Firewall (WAF) rules to block keyword parameter payloads containing script tags and event handlers

4. Enable input validation and output encoding on the keyword parameter



Compensating Controls:

5. Deploy Content Security Policy (CSP) headers to prevent inline script execution

6. Implement HTTPOnly and Secure flags on session cookies

7. Enable CORS restrictions to limit cross-origin requests

8. Monitor for suspicious keyword parameter values in access logs

9. Conduct immediate security awareness training on phishing/malicious URL risks

10. Upgrade to VirtueMart 4.0.13 or later when available

11. Implement real-time log monitoring for XSS attack patterns

12. Consider upgrading to alternative e-commerce platforms if patch timeline is uncertain

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. تحديد جميع تثبيتات Joomla VirtueMart 4.0.12 عبر المنظمة

2. تعطيل الوصول العام إلى نقطة نهاية product-variants إذا لم تكن حرجة للعمليات

3. تنفيذ قواعد جدار حماية تطبيقات الويب (WAF) لحجب حمولات معامل الكلمة الرئيسية التي تحتوي على علامات البرنامج النصي ومعالجات الأحداث

4. تفعيل التحقق من صحة الإدخال والترميز الناتج على معامل الكلمة الرئيسية

الضوابط التعويضية:

5. نشر رؤوس سياسة أمان المحتوى (CSP) لمنع تنفيذ البرنامج النصي المضمن

6. تنفيذ أعلام HTTPOnly و Secure على ملفات تعريف الجلسة

7. تفعيل قيود CORS لتحديد طلبات المصدر المتقاطع

8. مراقبة قيم معامل الكلمة الرئيسية المريبة في سجلات الوصول

9. إجراء تدريب فوري على الوعي الأمني بشأن مخاطر التصيد والعناوين الضارة

10. الترقية إلى VirtueMart 4.0.13 أو إصدار أحدث عند توفره

11. تنفيذ مراقبة السجل في الوقت الفعلي لأنماط هجمات XSS

12. النظر في الترقية إلى منصات التجارة الإلكترونية البديلة إذا كان الجدول الزمني للتصحيح غير مؤكد

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.3.1 - Input Validation and Output Encoding 5.3.2 - Web Application Security 5.3.3 - Session Management 6.2.1 - Security Monitoring and Logging

🔵 SAMA CSF

ID.BE-3 - Organizational Resilience PR.AC-1 - Access Control PR.DS-2 - Data Security DE.CM-1 - Detection and Analysis

🟡 ISO 27001:2022

A.14.2.1 - Secure development policy A.14.2.5 - Secure development environment A.14.3.1 - Separation of development, test and production environments

🟣 PCI DSS v4.0.1

6.5.1 - Injection flaws 6.5.7 - Cross-site scripting (XSS) 6.6 - Security testing and assessment

🔗 المراجع والمصادر 4

🔗

https://demo.virtuemart.net/

disclosure@vulncheck.com

🔗

https://www.exploit-db.com/exploits/51631

disclosure@vulncheck.com

🔗

https://www.virtuemart.net/

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/joomla-virtuemart-shopping-cart-reflected-xss-via-...

disclosure@vulncheck.com

📊 CVSS Score

6.1

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeC — Changed

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score6.1

CWECWE-79

EPSS0.03%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-04-09

المصدر nvd

المشاهدات 5

🇸🇦 درجة المخاطر السعودية

6.8

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-79

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2023-54362

عرّفنا بنفسك

تسجيل الدخول مطلوب