Wie am 10.01.2008 bekannt wurde, soll es potenziellen Angreifern über speziell preparierte Internetseiten und manipulierte Grafiken möglich sein, auf die Datenbank und die Konfiguration zuzugreifen und Komponenten oder User mit speziellen Rechten in einem geöffneten Backend unbemerkt anlegen zu können.

Dies soll aber nur möglich sein, wenn das Backend mit einem Super Admin Account geöffnet ist. So lang es noch keinen Patch gibt der diese Sicherheitslücke schließt, sollte man sich nicht auf anderen Seiten bewegen, während das eigene Backend mit einem Super Admin Account geöffnet ist. Eine andere Maßnahme ist das Arbeiten mit 2 Browsern, z.B. Backend im Firefox, Surfen in Opera (joomla.org ).

Als Vorsichtsmaßnahme empfehle ich ein komplettes Backup inkl. Datenbanksicherung!