Joomla Project ผู้ให้บริการระบบ CMS แบบ Open-source ชื่อดัง ประกาศอัปเดตแพทช์ Joomla CMS เป็นเวอร์ชัน 3.6.5 หลังพบช่องโหว่สำคัญ 3 รายการ ซึ่งหนึ่งในนั้นเป็นช่องโหว่ความรุนแรงระดับสูงที่ช่วยให้แฮ็คเกอร์สามารถเข้าควบคุมเว็บไซต์ได้ทันที
ช่องโหว่ดังกล่าวมีรหัส CVE-2016-9838 ซึ่งมีสาเหตุมาจากการตรวจสอบอินพุทที่ได้รับมาจากผู้ใช้บน Form ไม่ดีเพียงพอ ส่งผลให้แฮ็คเกอร์สามารถอัปโหลดและรัน Malicious Code ที่ช่วยให้เขาสามารถแก้ไขข้อมูลบัญชีรายชื่อของ Joomla ได้ ไม่ว่าจะเป็นการแก้ไขชื่อผู้ใช้ รีเซ็ตรหัสผ่าน หรือเปลี่ยนแปลงกลุ่มผู้ใช้งาน นอกจากนี้ยังสามารถสร้างบัญชี Admin ใหม่โดยใช้ชื่อผู้ใช้และรหัสผ่านที่ตนเองต้องการได้อีกด้วย
2 ช่องโหว่ที่เหลือ คือ Shell Upload และ Information Disclosure ซึ่งมีความรุนแรงระดับต่ำ
Shell upload vuln, followed by a vulnerability that allows for changing the password of other accounts. Update now. #Joomla https://t.co/gbNkVzbnd4
— Daniel Cid (@danielcid) December 14, 2016
ช่องโหว่ CVE-2016-9838 ส่งผลกระทบต่อ Joomla ทุกเวอร์ชันที่ใช้งานย้อนหลังไป 5 ปี คือ ตั้งแต่เวอร์ชัน 1.6.0 ถึง 3.6.4 ซึ่ง Joomla แนะนำให้ผู้ดูแลระบบรีบอัปเกรดไปเป็นเวอร์ชัน 3.6.5 เพื่ออุดช่องโหว่ทั้ง 3 รายการโดยเร็ว