AcyMailling - один из самых развитых и популярных компонентов email-маркетинга для Joomla. Весной 2023 года хакерами в коде компонента была найдена уязвимость, за которой последовала серия взломов сайтов. В этот период команда AcyMailing была занята другими трудоёмкими процессами внутри компании и, насколько можно судить по чатам сообществ, просто некоторое время не обращала внимания но появляющуюся информацию о взломах.
В свою очередь ситуация, в которой уязвимости не закрываются быстро, вызвала волну нарочито публичных деинсталляций AcyMailing.
16 августа 2023 был выпущен релиз 8.7.0, в котором были пропатчены уязвимости. Информационная рассылка пришла только 5 сентября. В письме сообщается, что под угрозой находятся сайты, где установлен AcyMailing версий от 6.7.0 до 8.6.3. Угроза XSS, создания списков и удаления вложений писем возможна там, где используется управление рассылками с фронтенда.
Рекомендуем держать версии расширений Ваших сайтов актуальными.
Подробная информация об уязвимостях в блоге AcyMailing:
Так же welcome в телеграм чат Joomla-сообщества
