Lỗ hổng bảo mật nghiêm trọng trên Joomla CMS

Lỗ hổng bảo mật nghiêm trọng trên Joomla CMS

Joomla là một nền tảng CMS (Content Management System) mã nguồn mở. Đây là một nền tảng CMS rất phổ biến, đứng hàng thứ hai trên thế giới.
Trong tuần vừa qua các nhà phân tích bảo mật đã phát hiện hai lỗ hổng nghiêm trọng, cả hai lỗ hổng này tồn tại trong các chức năng cốt lõi của Joomla, bao gồm các lỗ hổng bảo mật cho việc đăng ký và tạo tài khoản (CVE-2016-8870) và lỗ hổng leo thang đặc quyền (CVE 2016 8869). Với hai lỗ hổng này, joomla đang đặt hàng triệu trang web vào vòng nguy hiểm.
Lỗi tạo tài khoản có thể cho phép bất kỳ người dùng nào để đăng ký vào một trang web, ngay cả khi quá trình đăng ký đã bị vô hiệu, trong khi các lỗ hổng leo thang đặc quyền có thể cho phép các tài khoản đăng ký thông thường có quyền tương đương với quản trị viên trang web.
Cả hai các lỗ hổng nghiêm trọng ảnh hưởng đến Joomla Phiên bản 3.4.4 qua 3.6.3. Bản Cập Nhật cũng bao gồm một sửa chữa lỗi cho vấn đề xác thực hai lớp.
Hàng triệu trang web sử dụng trong thương mại điện tử và ngành công nghiệp nhạy cảm khác sử dụng Joomla, bao gồm cả dịch vụ thương hiệu lớn như McDonalds, Linux.com, General Electric, và các trang web tin tức lớn.
Vì vậy, người quản trị Joomla được khuyến cáo để nhanh chóng cập nhật trang web của họ cho Cập Nhật phiên bản 3.6.4 của CMS ngay lập tức.