Sicherheitsupdate: Zwei Lücken im CMS Joomla geschlossen
Mit Joomla erstellte Websites sind angreifbar. Eine aktualisierte Version ist verfügbar. Keine Lücke gilt als kritisch.
(Bild: Artur Szczybylo/Shutterstock.com)
Das Content Management System (CMS) Joomla ist aufgrund von zwei Sicherheitslücken verwundbar. Dementsprechend könnten Angreifer damit erstellte Websites attackieren und beispielsweise via SQL Injection in einem bestimmten Rahmen eigene Befehle ausführen.
In einer Sicherheitswarnung stufen die Joomla-Entwickler zwar den Bedrohungsgrad von beiden Schwachstellen (CVE-2019-19845, CVE-2019-19846) als "niedrig" ein, den "Impact" der SQL-Injection-Lücke kennzeichnen sie aber mit "hoch". Setzen die Angreifer erfolgreich an der anderen Lücke an, könnten sie verschiedene Pfade auf einem Webserver einsehen (Path Disclosure). Wie Angriffe ablaufen könnten, geht aus der Warnung nicht hervor.
Von der SQL-Injection-Schwachstelle sind die Joomla-Versionen 2.5.0 bis einschließlich 3.9.13 betroffen. Die Path-Disclosure-Lücke betrifft Joomla 3.8.0 bis einschließlich 3.9.13. In beiden Fällen hilft die abgesicherte Ausgabe 3.9.14. (des)
