Joomla 6.0.4 und 5.4.4: Wichtige Sicherheits-Patches und Bugfixes
Die Joomla-Entwickler haben die Versionen 6.0.4 und 5.4.4 veröffentlicht, die sich auf die Beseitigung von Sicherheitslücken und kritischen Fehlern konzentrieren. Diese Releases betreffen den Core der 5.x- und 6.x-Serien und verstärken die Abwehr gegen SQL-Injectionen, XSS und ACL-Verstöße. Die Updates sind für alle aktiven Installationen zwingend erforderlich, da sie die Komponenten com_ajax, com_content und com_joomlaupdate betreffen.
Kern-Sicherheitslücken: Detaillierte Aufschlüsselung
Die Updates schließen sechs wichtige Angriffsvektoren:
- Core [20260301]: ACL-Härtung in com_ajax, verhindert unbefugten Zugriff auf AJAX-Endpunkte.
- Core [20260302]: Blockiert SQL-Injection im com_content-Webdienst für den articles-Endpunkt.
- Core [20260303]: Behebt XSS im Zuordnungsvergleichsmodus (com_associations).
- Core [20260304]: Löst mehrere XSS-Probleme beim Rendern des Material-Headers.
- Core [20260305]: Verhindert willkürliche Dateilöschung über com_joomlaupdate.
- Core [20260306]: Korrekte Validierung der Zugriffsrechte in der Web-Services-API.
Diese Patches minimieren Ausnutzungsrisiken in Produktionsumgebungen mit Benutzereingaben und Admin-Oberflächen.
Fehlerbehebungen für Oberfläche und Rendering
Die Updates enthalten Korrekturen für die Stabilität des Admin-Panels und des Frontends:
- Icon-Flackern in der Administrator-Sidebar beseitigt.
- PHP-Warnungen im „Page Break“-Modal-Fenster unterdrückt.
- Platzhalter-Rendering bei GET-Anfragen zu Inhalten normalisiert.
- Medien-Bearbeitungsicon wiederhergestellt, wenn Action-Plugins fehlen.
- Relative CSS/JS-Pfade auf Fehlerseiten des Cassiopeia-Templates korrigiert.
Diese Änderungen verbessern die UX für Entwickler mittlerer bis fortgeschrittener Stufe, die mit benutzerdefinierten Templates und Erweiterungen arbeiten.
Verbesserungen an Backend-Komponenten
Fokus auf die Zuverlässigkeit von Systemdiensten:
- „Versions“-Button ausgeblendet, wenn die Content-History-Komponente deaktiviert ist.
- MailHelper parst Domains mit ungültigen Zeichen nun korrekt.
- Der Task-Scheduler ist robust gegenüber hängenden Jobs – die Ausführung setzt sich fort, ohne die Kette zu unterbrechen.
- TinyMCE initialisiert zuverlässig in der Firefox Developer Edition.
Diese Korrekturen sind entscheidend für Serveraufgaben, bei denen Fehlertoleranz Cron-Jobs und automatisierte Prozesse betrifft.
Upgrade-Empfehlungen
Vor dem Upgrade Datenbank und Dateisystem sichern. Auf einem Staging-Server testen und prüfen:
- Benutzerdefinierte Plugins bei com_ajax und com_content.
- Integrationen mit externen APIs über Web-Services.
- Frontend-Rendering bei Zuordnungen und Medien-Manager.
Nach dem Update Logs auf verbleibende PHP 8.x+-Warnungen überwachen.
Wichtige Punkte
- Sechs CVE-ähnliche Lücken im Core: SQLi, XSS, ACL und Dateilöschung.
- Admin-Stabilisierung: Icons, Modals, Platzhalter.
- Backend-Fixes: Scheduler, MailHelper, TinyMCE in Firefox.
- Pflichtupdate für alle 5.x/6.x LTS-Zweige.
— Editorial Team
Noch keine Kommentare.