https://www.joomla.org/announcements/release-news/5693-joomla-3-6-5-released.html Уязвимость с 1.6 до 3.6.4, а фикс для версий до 3.6 не вижу . Неправильное использование нефильтрованных данных, хранящихся на сессии, сбой проверки формы позволяет существующим учетным записям пользователей изменять; включить сброс их имя пользователя, пароль, и группы пользователей задания. п.с. У себя закрыл доступ к компоненту и предлагаю для версий Джумла 1.6-2.5 , в файле /components/com_users/user.php Код (PHP): defined('_JEXEC') or die; // Access check. if (!JFactory::getUser()->authorise('core.manage', 'com_users')) { return JError::raiseWarning(404, JText::_('JERROR_ALERTNOAUTHOR')); } А у кого есть юзеры на сайте- ждите фикс для старых версий.
Поисковики не поймут . Я вчера искал инфо о таблицах Вирта, наткнулся на открытую админку Вирта 3.0.16. Отписал в контакты , потом позвонил- админка Вирта так и вечером была в топе . Это я к чему-хакеры уязвимость ищут с помощью поисковиков.И если твой сайт даст просто Ничто, то поисковик непонятно что придумает .
Фильтр файлов для старых версий подправить: Код (CODE): \components\com_users\user.php ... + Выше для com_users
