Obwohl auf dem Content-Management-System (CMS) Joomla nur 9,2 % aller Internetseiten aufbauen, ist es nach dem Platzhirschen WordPress mit 16 % aller Webseiten (58 Millionen Internetauftritte) die Nummer zwei auf dem Markt.

Dritter beim Ranking der der Seitenbaukästen ist Drupal, das den Unterbau von 6,7 % aller Webseiten bildet.

Für alle Joomla-Nutzer haben die Entwickler jetzt ein Sicherheitsupdate veröffentlicht, das eine Sicherheitslücke schließt, über die Angreifer Joomla-Installationen eigenen Code zur Ausführung unterjubeln konnten. Das Joomla-Team schätzt den Schweregrad der Sicherheitslücke als hoch ein und empfiehlt den Benutzern, die abgedichtete Version 3.4.6 sofort einzuspielen.

Achtung: Auf der offiziellen Joomla-Downloadseite wird aktuell noch die verwundbare Version 3.4.5 angeboten. Nutzer von älteren, nicht mehr unterstützten Versionen finden den Sicherheitspatch auf einer separaten Seite.

Die Version 3.4.6 soll darüber hinaus zwei weitere, nicht so gefährlich eingestufte Lücken in dem CMS schließen. Dabei können sich Angreifer in den Versionen 3.4.0 bis 3.4.5 durch ein Problem beim Auslesen der XML-Datei des Joomla-Installationspakets Zugriff auf Dateien beschaffen (Directory Traversal). Der zweite, sehr niedrig eingestufte Sicherheitspatch sichert nach Angaben der Entwickler die com_templates weiter gegen Cross-Site-Request-Forgery-Angriffe ab. Davon sind die Versionen 3.2.0 bis 3.4.5 betroffen.