Die wichtigste geschlossene Sicherheitslücke ermöglichte es Angreifern unter Umständen, Benutzername und Passwort zu ändern und die Benutzergruppenzuordnung zu veränden (CVE-2016-9838). Weitere Lücken betrafen den Upload von potentiell gefährlichen Dateien (CVE-2016-9836) sowie die unautorisierte Bereitstellung von durch ACL geschützen Inhalten (CVE-2016-9837).
Außerdem wurden potentielle Sicherheitslücken im Bereich der Benutzerregistrierung und -verwaltung vorbeugend geschlossen.
Wir empfehlen Ihnen, das Joomla Security Release 3.6.5 schnellstmöglich auf Ihrem System einzuspielen.