Joomla开源内容管理系统(CMS)背后的团队上周宣布了一个安全漏洞。
该事件发生在Joomla Resources Directory (JRD)团队的一名成员将JRD站点(Resources .joomla.org)的完整备份放在他们自己公司拥有的Amazon Web Services S3 bucket上之后。
Joomla团队表示,备份文件没有加密,包含了约2,700名在JRD网站注册并创建个人资料的用户的详细信息。
Joomla的管理人员表示,他们仍在调查这起事件。目前还不清楚是否有人发现并从第三方公司的S3服务器下载数据。
在有人发现并下载备份时可能泄露的数据包括以下详细信息:
由于JRD门户用作Joomla专业人员的目录,因此该信息的大部分已经公开,因此该违规的严重程度被认为较低。然而,散列密码和IP地址并不意味着是公开的。
Joomla团队现在建议所有JRD用户在JRD门户网站上更改密码,但也要在他们重用密码的其他站点上更改密码,因为如果攻击者设法破解用户的密码,这些站点上的帐户可能会受到凭证填充攻击的威胁。
Joomla团队表示,一旦了解到JRD站点备份的意外泄漏,他们还对JRD门户进行了全面的安全审计。
Joomla团队在上周四公布的一份泄露文件中表示:“审计还突显出,在开源事项之外,存在个人拥有的超级用户账户。”
Joomla是一个内容管理系统(CMS),一个基于web的应用程序,用于构建和管理自托管网站。它是目前互联网上使用第三多的CMS。这个月,它被Shopify选为第二名。