In den Joomla Versionen 3.4.4 bis einschließlich 3.6.3 konnten Angreifer Accounts erstellen und sich im Anschluß daran sogar mit Administratorrechten ausstatten. Damit sind auch diejenigen Joomla-Installationen gefähreded, die eine Neuregistrierung für Besucher bewusst deaktiviert haben.
Außerdem wird mit Version 3.6.4 ein Bug in der Zwei-Faktor-Authentifizierung behoben, welcher sich in den Funktionen zur Verschlüsselung befand. Die Lücken tragen die offiziellen Bezeichnungen CVE-2016-8870 und CVE-2016-8869.
Bereits über 30.000 Joomla-Installationen angegriffen - jetzt patchen!
Seit der Veröffentlichung des Sicherheitsupdates 3.6.4 vor nicht einmal einer Woche, hat es Sicherheitsforschern von Sucuri zufolge schon über 30.000 Angriffe auf verwundbare Joomla-Systeme gegeben.
Installieren Sie das Security Release auf 3.6.4 unbedingt und so schnell wie möglich! Sie sollten sicherheitshalber auch einen Blick auf die Liste der registrierten Benutzer werfen, falls die Sicherheitslücke auf Ihrem System bereits ausgenutzt wurde.