In der Version 3.7.0 des Content-Management-Systems (CMS) Joomla gibt es eine SQL-Injection-Lücke, durch die Hacker dem CMS eigene Datenbankbefehle unterjubeln können.

Solche Schwachstellen können böse Folgen haben: Angreifer könnten zum Beispiel den Inhalt der Seite manipulieren und so Schadcode einschleusen oder aber auf die gespeicherten Nutzerdaten zugreifen.

Die Sicherheitslücke sitzt im Joomla Core und hat die CVE-Nummer CVE-2017-8917. Das Joomla-Team gab dem Sicherheitsproblem den zweithöchsten Schweregrad „Hoch“. Bisher gibt Joomla aber keine Details bekannt – man möchte wohl Benutzer der verwundbaren Version zu schützen.

Die abgesicherte Version 3.7.1, die man von der Projektseite herunterladen kann, beseitigt das Sicherheitsproblem. Wer also noch eine betroffene Joomla-Installation betreibt, sollte deshalb möglichst umgehend auf die gepatchte aktuelle Version umsteigen.

Da  der Patch nun einmal herausgegeben ist, können potentielle Angreifer durch Vergleich von Version 3.7.0 und Version 3.7.1 natürlich recht leicht herausfinden, an welcher Stelle die eingehenden Daten nicht ausreichend geprüft werden und diese Lücke dann auch für ihre bösen Zwecke missbrauchen.