Die Entwickler des beliebten Content Management Systems (CMS) Joomla haben soeben ein Update für ihre Software veröffentlicht, das unter anderem zwei Sicherheitslücken schließt.
Die Priorität des Updates wird vom Joomla-Projekt als “hoch” eingeschätzt und man empfiehlt dringend, das Update sofort einzuspielen. In der Ankündigung der Entwickler gibt es auch einen Link zum Download der abgesicherten Version Joomla 3.7.4.
Eine dieser Sicherheitslücken steckt im Installer des CMS. Ganz genau beschreiben die Entwickler das Problem nicht wirklich, man will ja Kriminellen keinen Hinweis geben. Die Sicherheitslücke erlaubt es Angreifern wohl, bei der Installation die Kontrolle über die Installation zu übernehmen.
Das ist anscheinend nur deshalb möglich, weil der Installer nicht überprüft, dass der Nutzer wirklich berechtigt ist, die Joomla-Software auf dem Webspace zu installieren. Dadurch können Angreifer die Kontrolle übernehmen – allerdings nicht mehr, wenn die Installation schon abgeschlossen wurde.
Diese Lücke steckt schon seit der Version 1.0.0 im Joomla-Code und ist damit nahezu zwölf Jahre alt!