漏洞描述
账号创建(Account Creation)
影响版本:3.4.4到3.6.3
报告日期:2016年10月18号
修复日期:2016年10月25号
CVE编号:CVE-2016-8870
描述:不严格的检查允许用户在网站不允许注册的时候注册账号
修复建议:升级到Joomla!3.6.4版本
权限提升(Elevated Privileges)
影响版本:3.4.4到3.6.3
报告日期:2016年10月18号
修复日期:2016年10月25号
CVE编号:CVE-2016-8869
描述:不恰当的使用未经严格的数据导致已注册账号可以提升权限
修复建议:升级到Joomla!3.6.4版本
安全客表示将持续关注该漏洞并及时跟进最新信息。
25号Joomla!官方公告
Joomla! 3.6.4现在已经可以下载了。这是一个3.x版本的安全更新。修复了2个关键的安全问题和一个双因子认证的bug。我们强烈的建议你里立即更新你的网站。和Joomla! 3.6.3相比这个版本仅仅修复了2个安全问题和1个双因子认证bug,没有其他的任何改变。
21号Joomla!官方公告
在10月25号14:00 UTC(北京时间约22:00)即将发布Joomla! 3.6.4版本(包含一个重要安全问题的修复),Joomla!的Strike Team安全团队(JSST)在此之前接受到关于这个安全问题通知。
这是一个非常重要的安全问题修复,请在下周二准备好去更新你的Joomla!。
请理解我们,直到这个版本发布之前,我们不会透漏关于这个漏洞的任何信息。
原文链接
https://www.joomla.org/announcements/release-news/5678-joomla-3-6-4-released.html
https://www.joomla.org/announcements/release-news/5677-important-security-announcement-pre-release-364.html
https://developer.joomla.org/security-centre/659-20161001-core-account-creation.html
https://developer.joomla.org/security-centre/660-20161002-core-elevated-privileges.html
本文暂时没有评论,来添加一个吧(●'◡'●)