Как стало известно 14 декабря, была обнаружена критическая уязвимость во всех версиях Joomla! по 3.4.5 включительно.
Согласно информации от SecurityLab.ru:
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.
Уязвимость существует из-за недостаточной обработки входных данных, во время записи в базу информации о браузере пользователя. Удаленный пользователь может с помощью специально сформированного заголовка HTTP User-Agent внедрить и выполнить произвольный PHP код на целевой системе с привилегиями web-сервера.
Успешная эксплуатация уязвимости позволит злоумышленнику получить полный контроль над уязвимым сайтом.
Уязвимость распространяется на версии Joomla! 1.5 по 3.4.5 включительно. Производитель уже успел выпустить исправление безопасности. Новая версия 3.4.6 доступна на сайте вендора.
В качестве временного решения можно использовать подручные средства для блокирования эксплуатации уязвимости путем замены потенциально опасных данных в заголовке HTTP User-Agent. Пример конфигурации для web-сервера Apache:
Код:
RewriteCond %{HTTP_USER_AGENT} .*\\{.* [NC]
RewriteRule .* - [F,L]
В настоящий момент нет данных о количестве сайтов, которые были скомпрометированы вследствие эксплуатации этой бреши.
Для решения проблемы необходимо установить последнюю версию CMS Joomla! (3.4.6) с сайта разработчика.
Рекомендуем Вам не откладывать обновление Вашего сайта, поскольку игнорирование данной проблемы можем нанести серьёзный урон его функционированию.
Ссылка 
