Уязвимость в Joomla 3

Добрый день. Может кто-нибудь знает, если ли патч, чтобы закрыть новую уязвимость в Joomla.

"Обе бреши, оцененные как высокой степени опасности, были обнаружены в начале октября и актуальны для Joomla версий с 3.4.4 по 3.6.3."

Нужен патч для версии 3.4.8. В данный момент нет возможности обновиться до 3.6.4, в котором уже исправлены эти ошибки.

Может кто-нибудь знает, RSFirewall блокирует новую ошибку?

Патча для версии 3.4 и 3.5 нет. Надо обновляться с 3.5.1 до 3.6 а потом до 3.6.4.
https://github.com/joomla/joomla-cms/releases/tag/3.6.4

Спасибо. А с версии 3.4.8 до 3.5.1 можно обновиться сразу? или нужно тоже поэтапно делать?

Поэтапно надо с 3.4.8 до 3.5.1.
Вот инструкция: https://docs.joomla.org/J3.x:Upgrading_from_Joomla_3.4.x_to_3.5

P.S. Не очень удобно с этими обновлениями, ибо начиная с версий Joomla 3.6.x, некторые расширения неадекватно работаю на локалке.
Например Dj-MegaMenu и DJ-Suggester не работают на Joomla 3.6.x и локалке. На Хостинге все норм. Проблему так и не нашел.

Дэн, спасибо Вам большое. Буду думать, что делать дальше. А у Вас RSFirewall установлен? Если да, как вы считаете, он блокирует атаки на новую уязвимость у Джумлы?

Установлен. Только честно, не могу сказать или он блокирует эту уязвимость) Там что-то связано с созданием аккаунта и правами. Надо бы помониторить.

Спасибо Вам большое! Хоть понял, что поэтапно обновляется Джумла. Хорошего дня Вам.

Спасибо! И вам хорошего дня!

Дэн, хотел уточнить, может Вы знаете. Если с помощью новой уязвимостью Джумлы создан на сайте пользователь, в админке, в рубрике Пользователи его видно или можно сделать чтоб не видно его было? Просто для себя понять, смогли создать или RSFirewall блокирует их.

Если регистрация выключена, то не создадут нового пользователя. И нельзя сделать, чтобы его не было видно в Админке. Ну в моей практике такого не было. В любом случае можно зайти в Базу данных и проверить всех юзеров.
Было разве что спамеры активно регали разные идиотские аккаунты. Но это было давно еще на Joomla 2.5. Но тогда была регистрация включена. Очень активно взламывают через компоненты EasyBlog и Kunena - это те, расширения, со взломами которых лично я сталкивался.
Если честно, я точно не могу сказать, в чем именно уязвимость, которую убрали в Joomla 3.6.4.

Я еще рекомендую ставить вот такой плагин, если есть регистрация на сайте - Email Protector (Маскировка E-mail от спам ботов): https://www.regularlabs.com/extensions/emailprotector
Он бесплатен.

Здравствуйте! Обновите Rs Firewall до версии 2.11.4. Там с уязвимостью обновили в версии Joomla 3.6.4.
Инфа: More thorough check for Joomla! < 3.6.4 vulnerability