Joomla! 任意用户注册与提权漏洞 请及时更新

  【25日Joomla!公告】

Joomla！3.6.4已经发布，这是Joomla 3.x系列的安全更新！它修复了两个关键的安全问题和一个关于双因素身份认证的bug。我们强烈建议您立即更新您的网站。

和Joomla! 3.6.3相比，这个版本仅仅修复了两个关键的安全问题和一个关于双因素身份认证的bug，其他没有任何更改。

漏洞一：允许攻击者创建账号

漏洞利用类型：帐户创建

报告日期：2016年10月18日

修复日期：2016年10月25日

漏洞编号：CVE-2016-8870

描述：不恰当的检查允许用户在网站注册功能禁用的情况下进行注册

影响版本：3.4.4到3.6.3

修复办法：升级到Joomla!3.6.4版本

漏洞二：允许攻击者提升账户权限

漏洞利用类型：提升权限

报告日期：2016年10月21日

修复日期：2016年10月25日

漏洞编号:CVE-2016-8869

描述：错误使用未过滤的数据导致已注册账号可以提升权限

影响版本：3.4.4到3.6.3

修复办法：升级到Joomla!3.6.4版本

这两个漏洞对3.4.4至3.6.3版本均造成影响。攻击者可利用这两个漏洞在网站未开启用户注册的情况下注册用户并将用户权限提升至管理员权限。建议立即更新至Joomla!3.6.4版本。

【21日 Joomla！ 3.6.4 - 重要安全公告】

官方将于10月25日14:00 UTC发布Joomla! 3.6.4版本，修复一个关键安全问题。

这是一个非常重要的安全问题修复，请在下周二安装更新您的Joomla!。

请理解，在发布之前，我们不会提供关于这个漏洞的任何信息。

原文链接：

[1]https://www.joomla.org/announcements/release-news/5678-joomla-3-6-4-released.html

[2]https://www.joomla.org/announcements/release-news/5677-important-security-announcement-pre-release-364.html

[3]https://developer.joomla.org/security-centre/659-20161001-core-account-creation.html

[4]https://developer.joomla.org/security-centre/660-20161002-core-elevated-privileges.html

（在线翻译）