Verschiedenen Versionen des Content Management Systems (CMS) Joomla haben sich verwundbar gezeigt. Allerdings gilt keine der drei Sicherheitslücken, die das Sicherheitsupdate Joomla 3.8.2 schließt, als kritisch. Zwei davon bewerten die Entwickler mit dem Bedrohungsgrad „mittel“ und die dritte mit „niedrig.“
Die Sicherheitslücken im Einzelnen
Durch eine Schwachstelle (CVE-2017-14596) im LDAP-Authentication-Plugin könnten Angreifer gültige Nutzernamen und Passwörter herausfinden. Davon sind wohl die Versionen 1.5.0 bis einschließlich 3.8.1 betroffen.
Die zweite Sicherheitslücke (CVE-2017-16634) steckt in den Ausgaben 3.2.0 bis inklusive 3.8.1. Angreifer können durch diese Schwachstelle die 2-Faktor-Authentifizierung umgehen.
Über die am wenigsten bedrohliche Lücke (CVE-2017-16633) sollen Angreifer in der Lage sein, Informationen aus den Custom fields einer Joomla-Seite auszulesen. Das erlaubt ein Fehler im com_fields der Versionen 3.7.0 bis einschließlich 3.8.1.
Außerdem beseitigten die Entwickler noch an die 90 weitere Bugs, die aber die Sicherheit des CMS nicht gefährden. Ein Update ist aber dringend zu empfehlen!