Пришло время для обновления сайтов на джумле. Небольшой релиз Joomla 3.6.4 не включает в себя каких-либо изменений функционала, а направлен на исправление двух критических уязвимостей. Настоятельно рекомендуется как можно скорее применить обновление, с учетом того, что угрозы классифицированы как высокоопасные.
Остановимся подробнее на уязвимостях, сразу упомяну, что кроме этого был исправлен баг двухфакторной авторизации - данные в некоторых случаях сохранялись в openssl и после сохранения конфигарация была незашифрованной. В выпущенном патче был модифицирован AES адаптер с совместимостью споследними версиями PHP 7.
CVE-2016-8870 - неадекватные проверки позволяли зарегистрировать пользователя, если регистрация была запрещена - уязвимы версии джумлы от 3.4.4 до 3.6.3
CVE-2016-8869 - плохо фильтруемые данные при регистрации позволяли создать пользователя с повышенными правами - уязвимы версии джумлы от 3.4.4 до 3.6.3
Из изменений файлов можно выделить удаление метода регистрации в контроллере и введении дополнительной проверки ид пункта меню.
Как видно, уязвимости представляют опасность для компрометации сайта, поэтому стоит немедленно обновиться до последней версии.
RSS лента комментариев этой записи