以前の記事CMS四天王のバリデーション状況を調査したところ意外な結果になったで報告したように、Joomla!はログイン名の制限が非常にゆるやかになっています。であれば、🍣とか、💩などを含むログイン名が登録できるのだろうかという疑問が生じました。 とはいえ、以前、Joomla!の「ゼロデイコード実行脆弱性」はPHPの既知の脆弱性が原因で報告したように、少なくともJoomla! 3.4.5までは、MySQLの設定上 UTF-8 の4バイト文字は登録できず、それ以降の文字が全て切り詰められるという問題がありました。 このため、「admin🍣」というログイン名を登録しようとすると、🍣の切り詰めが起こって、adminユーザを二重に登録できなるのではないでしょうか? 試してみる Joomla! 3.4.8の環境を用意して管理者ユーザーを「admin」としておきます。下記のように、default
![Joomla! 3.4まではUTF-8の4バイト文字を悪用して重複するログイン名が登録できた](https://cdn-ak-scissors.b.st-hatena.com/image/square/bbe645951ad4d4c052d3938d0af8547821284f03/height=288;version=1;width=512/https%3A%2F%2F1.bp.blogspot.com%2F-CPu3chj-zXE%2FWGnZnia-O8I%2FAAAAAAAAOf8%2FYj4UB-BS4dwUekJKKWfVVidjBzEKmINpwCLcB%2Fw1200-h630-p-k-no-nu%2Fjoomla_3_4_8x_11x.png)