Es besteht/bestand das Risiko, dass sich Nutzer auf einer Website registrierten, auch wenn die Registrierung deaktiviert wurde. Die Einspielung des Updates wurde dringend empfohlen, die Benutzerliste sollte auf verdächtige Accounts überprüft werden.

Wie immer sollte vor jedem Update ein Backup gefertigt (und natürlich auch getestet) werden!

Die Releasenotes, weitere Informationen und Downloadpakete gibt es bei Joomla.org

Update vom 27.10.2016: Seiten joomla.org kam man zu einer geänderten Einschätzung bezüglich des Securityupdates 3.6.4. Demnach war es auch unter bestimmten Umständen möglich, die Kontodaten eines bestehenden Benutzers zu überschreiben.