/ OSS / Sicherheitsupdate: Joomla schützt sich vor Account-Manipulation

Sicherheitsupdate: Joomla schützt sich vor Account-Manipulation

Moritz Rosenfeld on December 16, 2016 - 12:39 am in OSS

Neben dem Schließen von drei Sicherheitslücken haben die Joomla-Entwickler das CMS zusätzlich gehärtet.

Verschiedene Versionen des Content-Management-Systems Joomla sind verwundbar. Die Entwickler raten Nutzern, die aktuelle Version 3.6.5 zügig zu installieren.

Den Bedrohungsgrad der Lücke mit der Kennung CVE-2016-9838 stuft das Joomla-Team mit “Hoch” ein. Auf nicht näher beschriebenem Weg sollen Angreifer Nutzer-Accounts manipulieren und so Nutzernamen, Gruppen-Zugehörigkeiten und Passwörter zurücksetzen können. Davon sollen die Joomla Ausgaben 1.6.0 bis 3.6.4 bedroht sein.

Die beiden anderen Lücken (CVE-2016-9836 und CVE-2016-9837) sind mit dem Bedrohungsgrad “Niedrig” ausgezeichnet. Nutzt ein Angreifer diese aus, soll er manipulierte PHP-Dateien hochladen oder eingeschränkte Inhalte einsehen können. Davon sind die Versionen 3.0.0 bis 3.6.4.

Zur weiteren Härtung von Joomla haben die Entwickler eigenen Angaben zufolge Einschränkungen für Konfigurationseinstellungen eingeführt. So können Nutzer ohne Admin-Rechte etwa keine Mitglieder mehr von Super-User-Gruppen verwalten. (des)

Read more on: Source

Comments are disabled