近日，知名CMS joomla发布了3.6.5的版本更新，修补了可以导致攻击者重置用户密码并接管网站的CVE- 2016 – 9838漏洞，以及其他两个漏洞。

CVE- 2016 – 9838能够影响到所有运行Joomla1.6.0到3.6.4的网站，也就是说所有在过去五年里发布的Joomla版本都将受到影响。因此，更新到3.6.5显然已经成了唯一的选择，否则站长们就会发现他们的网站会成为垃圾邮件SEO或者DDOS僵尸网络的一部分。

由于CVE- 2016 – 9838允许攻击者修改用户名和密码，所以Joomla的开发团队将其定性为“高危”，据说这个漏洞是由于一个会话表单验证失败导致的，因此攻击者可以利用其缺乏数据过滤的问题来上传并执行恶意代码，进而对现有账户的详细信息进行更改。

准确的来说，攻击者是可以对用户名进行修改并且重置密码，更改用户组的分配。这就使得如果攻击者对网站足够了解就可以在这一网站上创建自己的管理员账户，并且可以使用自己的密码。

除了CVE- 2016 – 9838，这一次的3.6.5版本更新还修复了另外两个shell上传漏洞，其中有一个同样可以改变其他用户的密码，不过这两个漏洞被标注为“低危”。

目前，Joomla3.6.5已经为用户提供了下载并且还在源代码中增加了额外的安全特性。

大规模的扫描已经出现

开发者们提醒用户应该尽快去升级到最新版本，因为有消息称在10月下旬Joomla3.6.4发布后就已经有攻击者在对存在该漏洞的网站进行大范围的扫描了。

 Sucuri的创始人兼CTO Daniel Cid这样说道，

不到一个星期，任何仍然没有更新到最新版Joomla的用户都将被攻击。

该漏洞最早被发现是在10月底，3.6.4版本以及其补丁版都存在问题——允许攻击者注册账户并将自己的账户加入到管理员群组中。

事实上，去年joomla也曾发生过类似的事情，2015年12月，攻击者就曾利用Joomla的零日漏洞发起每天超过16600次的攻击。

因此，这一次CVE – 2016 – 9838仍然有可能被武器化的使用，从而使得攻击者可以去攻击足够多的网站。