# Joomla 6.0.4 et 5.4.4 : Principaux correctifs de sécurité et résolutions de bugs
Les développeurs de Joomla ont publié les versions 6.0.4 et 5.4.4, axées sur la correction de vulnérabilités et de bugs critiques. Ces sorties concernent le cœur des séries 5.x et 6.x, renforçant les défenses contre les injections SQL, les XSS et les violations ACL. Les mises à jour sont obligatoires pour toutes les installations actives, car elles affectent les composants com_ajax, com_content et com_joomlaupdate.
Vulnérabilités du cœur : Analyse détaillée
Les mises à jour corrigent six vecteurs d'attaque principaux :
- Core [20260301] : Renforcement ACL dans com_ajax, empêchant l'accès non autorisé aux points de terminaison AJAX.
- Core [20260302] : Blocage d'injection SQL dans le service web com_content pour le point de terminaison articles.
- Core [20260303] : Correction de XSS en mode comparaison des associations (com_associations).
- Core [20260304] : Résolution de plusieurs problèmes XSS dans le rendu des en-têtes de matériel.
- Core [20260305] : Interdiction de la suppression arbitraire de fichiers via com_joomlaupdate.
- Core [20260306] : Validation correcte des droits d'accès dans l'API des services web.
Ces correctifs minimisent les risques d'exploitation dans les environnements de production impliquant des entrées utilisateur et des interfaces d'administration.
Corrections de bugs d'interface et de rendu
Les mises à jour incluent des corrections pour la stabilité du panneau d'administration et de l'avant-plan :
- Élimination du scintillement des icônes dans la barre latérale de l'administrateur.
- Suppression des avertissements PHP dans la fenêtre modale « Saut de page ».
- Normalisation du rendu des placeholders sur les requêtes GET vers le contenu.
- Restauration de l'icône d'édition média lorsque les plugins d'action sont absents.
- Correction des chemins relatifs CSS/JS sur les pages d'erreur du modèle Cassiopeia.
Ces changements améliorent l'expérience utilisateur pour les développeurs de niveau intermédiaire et avancé travaillant avec des modèles et extensions personnalisés.
Améliorations des composants backend
Accent sur la fiabilité des services système :
- Le bouton « Versions » est masqué lorsque le composant d'historique de contenu est désactivé.
- MailHelper analyse correctement les domaines avec caractères invalides.
- Le planificateur de tâches est résilient aux emplois bloqués — l'exécution se poursuit sans rompre la chaîne.
- TinyMCE s'initialise de manière fiable dans Firefox Developer Edition.
Ces corrections sont critiques pour les tâches serveur où la tolérance aux pannes affecte les cron jobs et les processus automatisés.
Recommandations de mise à niveau
Avant la mise à niveau, sauvegardez votre base de données et votre système de fichiers. Testez sur un serveur de préproduction, en vérifiant :
- Les plugins personnalisés sur com_ajax et com_content.
- Les intégrations avec des API externes via les services web.
- Le rendu avant-plan dans les associations et le gestionnaire média.
Après mise à jour, surveillez les journaux pour tout avertissement PHP 8.x+ persistant.
Points clés
- Six vulnérabilités de type CVE dans le cœur : SQLi, XSS, ACL et suppression de fichiers.
- Stabilisation admin : icônes, modales, placeholders.
- Corrections backend : planificateur, MailHelper, TinyMCE dans Firefox.
- Mise à jour obligatoire pour toutes les branches 5.x/6.x LTS.
— Editorial Team
Aucun commentaire pour le moment.