Joomla 6.0.4 a 5.4.4: klíčové bezpečnostní záplaty a opravy chyb
Vývojáři Joomla vydali verze 6.0.4 a 5.4.4 s důrazem na odstranění zranitelností a kritických chyb. Tato vydání ovlivňují jádro systémů řad 5.x a 6.x, posilují ochranu proti SQL-injektím, XSS a porušování ACL. Aktualizace jsou povinné pro všechny aktivní instalace, protože se týkají komponent com_ajax, com_content a com_joomlaupdate.
Zranitelnosti v jádru: podrobný rozbor
V aktualizacích bylo uzavřeno šest klíčových vektorů útoků:
- Core [20260301]: Posílení ACL v com_ajax, zabraňující neoprávněnému přístupu k AJAX endpointům.
- Core [20260302]: Blokování SQL-injekce ve webové službě com_content pro endpoint článků.
- Core [20260303]: Odstranění XSS v režimu porovnávání asociací (com_associations).
- Core [20260304]: Oprava několika XSS při renderování hlaviček materiálů.
- Core [20260305]: Zákaz libovolného mazání souborů prostřednictvím com_joomlaupdate.
- Core [20260306]: Správná kontrola oprávnění v API webových služeb.
Tyto záplaty minimalizují rizika exploitace v produkčních prostředích, kde jsou zapojeny uživatelské vstupy a administrativní rozhraní.
Opravy chyb v rozhraní a renderingu
Aktualizace zahrnují opravy pro stabilitu admin panelu a frontendu:
- Odstraněno blikání ikon v bočním panelu administrátora.
- Potlačena PHP-varování v modálním okně „Rozdělení stránky“.
- Normalizován rendering placeholderů při GET-zápasech na obsah.
- Obnovena ikona úprav médií při absenci pluginů akcí.
- Opravena relativní cesty CSS/JS na stránkách chyb šablony Cassiopeia.
Tato změna zlepšuje UX pro středně/pokročilé vývojáře pracující s vlastními šablonami a rozšířeními.
Vylepšení backendových komponent
Zaměření na spolehlivost systémových služeb:
- Tlačítko „Verze“ se skrývá při vypnutém komponentu historie obsahu.
- MailHelper nyní správně parsuje domény s neplatnými znaky.
- Plánovač úkolů (scheduler) je odolný vůči visícím jobům – provádění pokračuje bez přerušení řetězce.
- TinyMCE se stabilně inicializuje ve Firefox Developer Edition.
Tyto úpravy jsou kritické pro serverové úlohy, kde odolnost vůči selhání ovlivňuje cronové úlohy a automatizované procesy.
Doporučení k aktualizaci
Před upgradem vytvořte zálohu databáze a souborového systému. Testujte na stagingovém serveru a kontrolujte:
- Funkčnost vlastních pluginů na com_ajax a com_content.
- Integrace s externími API prostřednictvím webových služeb.
- Frontend rendering v asociacích a správci médií.
Po aktualizaci sledujte logy kvůli případným zbývajícím varováním PHP 8.x+.
Co je důležité
- Šest CVE-podobných zranitelností v jádru: SQLi, XSS, ACL a mazání souborů.
- Stabilizace admin panelu: ikony, modální okna, placeholdery.
- Backend opravy: scheduler, MailHelper, TinyMCE ve Firefoxu.
- Povinná aktualizace pro všechny LTS větve 5.x/6.x.
— Editorial Team
Zatím žádné komentáře.