Een kleine week van te voren werd bekend gemaakt dat op dinsdag 25 oktober een belangrijke beveiligingsupdate voor Joomla werd uitgebracht. De details werden niet van te voren bekend gemaakt, om hackers geen informatie in handen te spelen.
Nadat de update uit kwam (16:00 lokale tijd) werd duidelijk dat er twee beveiligingslekken waren die met de update gedicht zijn. Met een lek kon, zelfs als je het registreren van gebruikers uit had staan toch een gebruiker worden aangemaakt. Nu is dat op zich niet zo erg, omdat een gewone gebruiker niet zoveel kan op de gemiddelde site. Echter met een tweede lek kon van een gewone gebruiker een super user worden gemaakt. En voor wie het niet weet, met super user kan je alles binnen een Joomla site.
Voor 19:00 op 25 oktober waren de sites van al mijn klanten geüpdatet met vooraf een backup voor de zekerheid. Saillant detail is dat op 28 oktober maar 9% van de Joomla sites deze update heeft geïnstalleerd en er zijn al scripts opgedoken die actief de kwetsbaarheden gebruiken om sites te hacken.
Hebben mijn klanten nu een risico gelopen met deze twee lekken? Nee, want bij al mijn klanten heb ik beveiligingssoftware geïnstalleerd die ingesteld staat dat er niet naar super user kan worden gewijzigd.
Meer informatie over de lekken kan je hier vinden.