Joomla ผู้ให้บริการ Content Management System (CMS) แบบ Open-source ชื่อดัง ประกาศออกแพทช์อุดช่องโหว่ความรุนแรงระดับ Critical 2 รายการ ซึ่งช่วยให้แฮ็คเกอร์บายพาสระบบรักษาความมั่นคงปลอดภัยของ Joomla และเข้าจัดการเว็บไซต์ได้โดยไม่ได้รับอนุญาต
ช่องโหว่ทั้ง 2 รายการประกอบด้วย
- CVE-2016-8870: ช่องโหว่การสร้างชื่อบัญชีของ Joomla ซึ่งช่วยให้แฮ็คเกอร์สามารถลงทะเบียนสร้างบัญชีบนเว็บไซต์ได้ ต่อให้กระบวนการลงทะเบียนนั้นไม่ถูกเปิดใช้งานก็ตาม
- CVE-2016-8869: ช่องโหว่ Privilege Escalation ซึ่งช่วยให้แฮ็คเกอร์ที่ลงทะเบียนกับเว็บไซต์ไปแล้วสามารถยกระดับสิทธิ์การเข้าถึงของตนให้สูงขึ้นได้
จะเห็นได้ชัดเวลาช่องโหว่ทั้งสองนี้ เมื่อนำมารวมกันจะช่วยให้แฮ็คเกอร์สามารถบายพาสระบบความมั่นคงปลอดภัยของ Joomla แล้วเข้าจัดการกับเว็บไซต์ได้โดยไม่จำเป็นต้องขออนุญาตทันที
ช่องโหว่เหล่านี้ค้นพบบน Joomla เวอร์ชัน 3.4.4 ถึง 3.6.3 ซึ่งทาง Joomla แนะนำให้ผู้ใช้อัปเดต CMS เป็นเวอร์ชัน 3.6.4 โดยด่วน นอกจากนี้ยังมีอีก 1 ช่องโหว่บนกลไกการเข้ารหัสที่ใช้ในระบบ 2-Factor Authentication ที่ถูกแพทช์โดยอัปเดตนี้ด้วยเช่นกัน