据外媒 9 月 21 日报道，网络安全公司 RIPS Technologies 研究人员发现全球知名内容管理系统 Joomla! 的登录页面存在一处高危漏洞（CVE-2017-14596），致使管理员登录凭证在线暴露。目前，受影响版本包括 Joomla! 1.5 -- 3.7.5。 调查显示，当用户使用轻量级目录访问协议（LDAP）身份验证时，该漏洞将会影响 Joomla! 安装。此外，Joomla! 主要通过 TCP/IP 从插件管理器启用本机验证插件实现 LDAP 访问。然而，研究人员却发现，当启用 LDAP 认证插件时，攻击者可以尝试从登录页面逐个猜测管理员凭证，...

安全公司 Sucuri 研究人员于近期发现，全球知名开源内容管理系统 Joomla! 3.7.0 Core 由于数据过滤不严谨出现 SQL 注入漏洞（CVE-2017-8917），允许黑客远程窃取数据库敏感信息、获得未经授权的网站访问权限。 知道创宇 404 安全团队针对该漏洞已输出分析报告：
http://paper.seebug.org/305/
考虑到 SQL 注入漏洞可使数百万网站遭受黑客攻击的风险，我们强烈建议网站管理员立即下载安装最新版本 Joomla! 3.7.1，以防黑客再度入侵网站、窃取用户信息。...

据本站 10 月 26 日报道，Joomla CMS 项目组发布 3.6.4 版本补丁修复两个”高危“漏洞，漏洞可允许攻击者接管 Joomla 内容管理系统。近日，安全公司 Sucuri 发现漏洞刚报道不到 24 小时，Joomla 网站就遭到大量攻击。 稿源：本站翻译整理，封面来源：百度搜索...

Joomla CMS 项目组昨日发布 3.6.4 版本补丁修复两个”高危“漏洞：① CVE-2016-8870 允许攻击者在禁止注册的网站上创建账户；② CVE-2016-8869 则允许攻击者提升权限成为高特权账户。利用两者配合就能顺利接管 Joomla CMS 的安装。 10 月 18 日安全工程师 Demis Palma 发现了 CVE-2016-8870 漏洞，Joomla 安全团队（JSST）成员 Davide Tampellini 在三天后进一步发现了 CVE-2016-8869 漏洞。官方意识到漏洞危害后迅速发布公告并开始修复漏洞， 稿源：本站翻译整理，封面来源：百度搜索...