CVE-2016-9838： Joomla 2016 最新漏洞

CVE-2016-9838： Joomla 2016 最新漏洞。Joomla 最近发布了 Joomla CMS 的3-6-5版本。最新版本能够解决三个安全漏洞，其中一个漏洞 ---CVE-2016-9838，可使攻击者直接操控安全性低的网站。

Joomla 已将此漏洞归类为“高危漏洞”。

Joomla 的开发人员认为，攻击者利用数据过滤的缺陷，下载并执行恶意代码，改变已存账户的信息，包括改变用户名，重置用户密码并改变用户小组分配。一个熟练的程序员甚至可以利用这个漏洞，创造一个管理者账户和密码。

昨日发布的 Joomla 3.6.5，除了修复 CVE-2016-9838，还修复了另外两个安全漏洞：shell 上传漏洞和信息披露漏洞。这两个漏洞都被评为低危漏洞。与此同时，3.6.4版本还强化了 CMS 的源代码，增加了一些其他的安全功能。

大规模扫描接踵而至

Joomla 在十月下旬发布 3.6.4 版本后，攻击者便开始扫描整个因特网来寻找有漏洞的网站。

那时，Sucuri 的创始人兼 CTO，Daniel Ci 便认为：“不到一周的时间，任何未升级 Joomla 的网站都极有可能被攻击。”

漏洞在十月底被发现，并打包在 3.6.4 版本的Joomla 中，允许攻击者注册账号，并将自己升级为管理员，这和打包在3.6.5 版本 Joomla 的漏洞相似。

2015 年 12 月，类似的漏洞利用曾经发生过。攻击者，每天平均发起超过 16600 起攻击，来对抗 Joomla 最新打包的 0day。

尽快升级!

漏洞 CVE-2016-9838，影响了过去 5 年所有 Joomla 的版本。也就是说，所有运行 Joomla 1.6.0 到 3-6-4 版本的网站都将受到影响。

攻击者极有可能会将 CVE-2016-9838 当作武器，在用户升级之前，攻击尽可能多的网站。

使用 Joomla 的网站务必立刻升级 Joomla 到 3.6.5 的版本!