Das gerade erschienene Update auf Joomla 3.6.4 schließt zwei gravierende Sicherheitslücken in dem CMS: Durch eine davon können sich Angreifer Accounts erstellen, die über erhöhte Rechte verfügen – gemeint sind wohl Admin-Accounts.

Durch die zweite Lücke können sich potentielle Angreifer sogar dann noch neue Accounts anlegen, wenn der Admin die Neuregistrierung eigentlich deaktiviert hat. Außerdem behebt Joomla 3.6.4 einen Fehler in den Verschlüsselungs-Funktionen der Zwei-Faktor-Authentifizierung.

Laut Joomla sind die Versionen 3.4.4 bis 3.6.3 dafür anfällig. Wer eine Joomla-Installation administriert, sollte das Update auf Version 3.6.4 so schnell wie möglich einspielen.

Außerdem ist zu empfehlen, die Liste registrierter Accounts auf Auffälligkeiten zu untersuchen, um auszuschließen, dass in der Vergangenheit durch die Lücke unbemerkt Accounts angelegt wurden, die sich die höheren Rechten schon gegönnt haben.