Zpět na domů

Aktualizace Joomla 6.0.4: bezpečnostní záplaty

Joomla 6.0.4 a 5.4.4 odstraňují šest zranitelností v jádře včetně SQL-injekcí a XSS. Opravena chyby admin panelu, plánovače a TinyMCE. Doporučuje se okamžitá aktualizace pro production weby.

Joomla 6.0.4: opravy SQLi a XSS pro vývojáře
Advertisement 728x90

Joomla 6.0.4 a 5.4.4: klíčové bezpečnostní záplaty a opravy chyb

Vývojáři Joomla vydali verze 6.0.4 a 5.4.4 s důrazem na odstranění zranitelností a kritických chyb. Tato vydání ovlivňují jádro systémů řad 5.x a 6.x, posilují ochranu proti SQL-injektím, XSS a porušování ACL. Aktualizace jsou povinné pro všechny aktivní instalace, protože se týkají komponent com_ajax, com_content a com_joomlaupdate.

Zranitelnosti v jádru: podrobný rozbor

V aktualizacích bylo uzavřeno šest klíčových vektorů útoků:

  • Core [20260301]: Posílení ACL v com_ajax, zabraňující neoprávněnému přístupu k AJAX endpointům.
  • Core [20260302]: Blokování SQL-injekce ve webové službě com_content pro endpoint článků.
  • Core [20260303]: Odstranění XSS v režimu porovnávání asociací (com_associations).
  • Core [20260304]: Oprava několika XSS při renderování hlaviček materiálů.
  • Core [20260305]: Zákaz libovolného mazání souborů prostřednictvím com_joomlaupdate.
  • Core [20260306]: Správná kontrola oprávnění v API webových služeb.

Tyto záplaty minimalizují rizika exploitace v produkčních prostředích, kde jsou zapojeny uživatelské vstupy a administrativní rozhraní.

Google AdInline article slot

Opravy chyb v rozhraní a renderingu

Aktualizace zahrnují opravy pro stabilitu admin panelu a frontendu:

  • Odstraněno blikání ikon v bočním panelu administrátora.
  • Potlačena PHP-varování v modálním okně „Rozdělení stránky“.
  • Normalizován rendering placeholderů při GET-zápasech na obsah.
  • Obnovena ikona úprav médií při absenci pluginů akcí.
  • Opravena relativní cesty CSS/JS na stránkách chyb šablony Cassiopeia.

Tato změna zlepšuje UX pro středně/pokročilé vývojáře pracující s vlastními šablonami a rozšířeními.

Vylepšení backendových komponent

Zaměření na spolehlivost systémových služeb:

Google AdInline article slot
  • Tlačítko „Verze“ se skrývá při vypnutém komponentu historie obsahu.
  • MailHelper nyní správně parsuje domény s neplatnými znaky.
  • Plánovač úkolů (scheduler) je odolný vůči visícím jobům – provádění pokračuje bez přerušení řetězce.
  • TinyMCE se stabilně inicializuje ve Firefox Developer Edition.

Tyto úpravy jsou kritické pro serverové úlohy, kde odolnost vůči selhání ovlivňuje cronové úlohy a automatizované procesy.

Doporučení k aktualizaci

Před upgradem vytvořte zálohu databáze a souborového systému. Testujte na stagingovém serveru a kontrolujte:

  • Funkčnost vlastních pluginů na com_ajax a com_content.
  • Integrace s externími API prostřednictvím webových služeb.
  • Frontend rendering v asociacích a správci médií.

Po aktualizaci sledujte logy kvůli případným zbývajícím varováním PHP 8.x+.

Google AdInline article slot

Co je důležité

  • Šest CVE-podobných zranitelností v jádru: SQLi, XSS, ACL a mazání souborů.
  • Stabilizace admin panelu: ikony, modální okna, placeholdery.
  • Backend opravy: scheduler, MailHelper, TinyMCE ve Firefoxu.
  • Povinná aktualizace pro všechny LTS větve 5.x/6.x.

— Editorial Team

Advertisement 728x90

Číst dál