joomla畸形反序列化數據包注入導致遠程代碼執行,漏洞由六翼工程師于2015年12月15日發現。存在于Joomla3.4.5及以前版本，此漏洞為高危漏洞。

包含此漏洞的文件是：/libraries/joomla/session/session.php

（3.4.x）解決此問題的代碼修正是：

第988行
修正前：if (isset($_SERVER['HTTP_X_FORWARDED_FOR']))
修正后：if (isset($_SERVER['HTTP_X_FORWARDED_FOR']) && filter_var($_SERVER['HTTP_X_FORWARDED_FOR'],FILTER_VALIDATE_IP) !== false)
---
第994行
修正前：if (in_array('fix_adress', $this->_security) && isset($_SERVER['REMOTE_ADDR']))
修正后：if (in_array('fix_adress', $this->_security) && isset($_SERVER['REMOTE_ADDR']) && filter_var($_SERVER['REMOTE_ADDR'], FILTER_VALIDATE_IP) !== false)
--- 第1013行
修正前：$browser = $this->get('session.client.browser');
修正后：$browser = "";
---
第1017行
修正前： $this->set('session.client.browser', $_SERVER['HTTP_USER_AGENT']);
修正后： $this->set('session.client.browser', ""); ---