Vorabinformation: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) berichtet von einer als sehr hoch eingestuften Sicherheitslücke in den Joomla!-Versionen 3.4.4 bis einschließlich 3.6.4 für die die Core-Entwickler bislang weder ein Sicherheitsupdate noch einen Workaround bereitgestellt haben.
Die Empfehlung des BSI lautet, um sich zumindest vor nicht angemeldeten Angreifern zu schützen, wenigstens auf die Version 3.6.4 zu aktualisieren. Das behebt allerdings nicht die Lücke, die angemeldete Hacker nutzen können, um beliebigen Schadcode auszuführen.
Dafür muss sich ein Angreifer regulär am Joomla!-System anmelden oder die in 3.6.4 behobene Lücke ausnutzen können, mit der er die Registrierung umgehen und zudem erhöhte Privilegien erlangen kann. Quellen: BSI, CERT-Bund, NVD
Quelle: CERT-Bund