# Joomla 6.0.4 i 5.4.4: kluczowe poprawki bezpieczeństwa i naprawy błędów
Deweloperzy Joomla wydali wersje 6.0.4 i 5.4.4, skupiając się na eliminacji luk bezpieczeństwa i krytycznych błędów. Te wydania dotyczą rdzenia systemów serii 5.x i 6.x, wzmacniając ochronę przed wstrzyknięciami SQL, XSS i naruszeniami ACL. Aktualizacje są obowiązkowe dla wszystkich aktywnych instalacji, ponieważ wpływają na komponenty com_ajax, com_content i com_joomlaupdate.
Luki w rdzeniu: szczegółowa analiza
W aktualizacjach zamknięto sześć kluczowych wektorów ataku:
- Core [20260301]: Wzmocnienie ACL w com_ajax, zapobiegające nieautoryzowanemu dostępowi do punktów końcowych AJAX.
- Core [20260302]: Zablokowanie wstrzyknięcia SQL w serwisie webowym com_content dla punktu końcowego artykułów.
- Core [20260303]: Usunięcie XSS w trybie porównywania asocjacji (com_associations).
- Core [20260304]: Naprawa kilku XSS w renderowaniu nagłówków materiałów.
- Core [20260305]: Zakaz dowolnego usuwania plików za pośrednictwem com_joomlaupdate.
- Core [20260306]: Poprawna weryfikacja uprawnień dostępu w API serwisów webowych.
Te poprawki minimalizują ryzyko wykorzystania w środowiskach produkcyjnych, gdzie ispolzuyutsya dane wejściowe od użytkowników i interfejsy administracyjne.
Naprawy błędów w interfejsie i renderowaniu
Aktualizacje zawierają poprawki zapewniające stabilność panelu administracyjnego i frontendu:
- Usunięto migotanie ikon w panelu bocznym administratora.
- Stłumiono ostrzeżenia PHP w oknie modalnym „Przerwa strony”.
- Znormalizowano renderowanie placeholderów przy żądaniach GET do treści.
- Przywrócono ikonę edycji mediów przy braku wtyczek akcji.
- Skorygowano ścieżki względne CSS/JS na stronach błędów szablonu Cassiopeia.
Takie zmiany poprawiają UX dla średniozaawansowanych i starszych deweloperów pracujących z niestandardowymi szablonami i rozszerzeniami.
Ulepszenia komponentów backendu
Skupienie na niezawodności usług systemowych:
- Przycisk „Wersje” jest ukryty, gdy komponent historii treści jest wyłączony.
- MailHelper teraz poprawnie parsuje domeny z niepoprawnymi znakami.
- Harmonogram zadań (scheduler) jest odporny na zawieszone zadania — wykonanie kontynuuje się bez przerywania łańcucha.
- TinyMCE inicjalizuje się stabilnie w Firefox Developer Edition.
Te poprawki są kluczowe dla zadań serwerowych, gdzie odporność na awarie wpływa na zadania cron i procesy zautomatyzowane.
Zalecenia dotyczące aktualizacji
Przed uaktualnieniem utwórz kopię zapasową bazy danych i systemu plików. Testuj na serwerze stagingowym, sprawdzając:
- Działanie niestandardowych wtyczek w com_ajax i com_content.
- Integracje z zewnętrznymi API za pośrednictwem serwisów webowych.
- Renderowanie frontendu w asocjacjach i menedżerze mediów.
Po aktualizacji monitoruj logi pod kątem pozostałych ostrzeżeń PHP 8.x+.
Co ważne
- Sześć luk podobnych do CVE w rdzeniu: SQLi, XSS, ACL i usuwanie plików.
- Stabilizacja panelu admin: ikony, modale, placeholdery.
- Poprawki backendu: scheduler, MailHelper, TinyMCE w Firefox.
- Obowiązkowa aktualizacja dla wszystkich gałęzi LTS 5.x/6.x.
— Editorial Team
Brak komentarzy.