14 Декабря 2015 г. команда разработчиков выпустила новую версию Joomla 3.4.6, в которой содержится фикс серьёзной уязвимости в обработчике сессии, связанная с возможностью внедрения php-объекта в сериализованном виде в базу данных MySQL. Внедрение стало возможным из-за бага в MySQL-сервере, который при настройке на сохранение символов в кодировке UTF8, встретив символ из таблицы расширенного Unicode (например, символ конверта 0xF0 0x9F 0x96 0x82) посчитает его некорректным и оставшуюся часть строки отрежет, сохранив только начало строки.
21 Декабря 2015 г. был выпущен релиз Joomla 3.4.7, который закрывает эту же уязвимость в обработчике сессии, разработчики выяснили, что уязвимость связана не только с вышеупомянутым багом в MySQL-сервере, но и с багом в некоторых версиях языка PHP, связанным с десериализацией объекта сессии https://bugs.php.net/bug.php?id=70219.
Они решили "забетонировать" эту дыру, применив к сериализованному объекту сессии base64-кодирование/декодирование перед сохранением и, соответственно, после получения из базы данных.
Т. к. класс JSession, в котором может эксплуатировать данная проблема, существует практически в неизменном виде с версии Joomla 1.5.0, то это стало по-настоящему глобальной проблемой.
Для серий Joomla 3.0.x разработчики рекомендуют обновляться до последней версии 3.4.7.
Для более ранних семейств с Joomla 1.5.0 до 2.5.x в теории также рекомендуется проапгрейдится до версии 3.4.7, но, понимая, что для многих это почти не реально в силу глубоких некорректных модернизаций движка и установленных старых расширений, разработчики выпустили заплатки, благо, заплатка состоит из одного файла.
Заплатки выложены на странице по закрытию критических уязвимостей для для официально не поддерживаемых версий: https://docs.joomla.org/Security_hotfix ... L_versions.