●概述：
開放原始碼的架站軟體Joomla!，具備網頁內容管理功能，經查具4項輸入值驗證缺失，迫使後臺模板hathor受SQL injection影響，可能於postinstallation message介面不當暴露隱私資料；另外Cross-Site Scripting亦發生在Uri類別、com_fields參數、chromes模組等三方面，相關參數夾藏惡意payload且未經充分過濾，分別於相異介面環境執行腳本碼，恐讓駭客竊取cookie類型憑證資料，Joomla!原已針對安全性漏洞升級至3.8.4，然一週內又改善部分bug，公布3.8.5版軟體供下載更新。
●編註：
(1)hathor後臺模板SQL injection
在joomla內建兩個後臺模板，安裝完成後預設模板為isis，另外需手動設置後臺模板是hathor，因欠缺正確的變數型態轉換機制，若admin_type變數接收到SQL語法敘述，傳入/administrator/templates/hathor/postinstall/hathormessage.php，交由副程式hathormessage_postinstall_condition()處理資料庫，則在postinstallation message介面呈現非法SQL指令執行結果。
(2)多項XSS事件
(2-1)參數script_name用途是獲得url資料，將字串導入後進行判斷式運算，當$script_name = $_SERVER['PHP_SELF']時，觸發Uri類別(前稱JUri)漏洞，錯誤路徑解析後，將不合理的URL(例：http://127.0.0.1/index.php/惡意payload鑲入網頁介面。
(2-2)com_fields參數中數項欄位型態未經充分檢查，當操作後臺content->fields->new，選擇型態為list、radio、checkbox，順便在欄位塞入惡意字串資料，多餘payload不被過濾，儲存新文章後即觸發Cross-Site Scripting。
(2-3)chromes模組亦存在數入驗證瑕疵，對參數module_tag缺乏完善處理，當前臺模板按預設值為protostar，訪問前臺就會觸發modChrome_well函數，只要運算時引入惡意變造之module_tag值，跨站台腳本旋即生效。