Powrót do strony głównej

Aktualizacje Joomla 6.0.4: poprawki bezpieczeństwa

Joomla 6.0.4 i 5.4.4 eliminują sześć luk w rdzeniu, w tym iniekcje SQL i XSS. Naprawiono błędy panelu admin, planisty i TinyMCE. Zalecana natychmiastowa aktualizacja dla witryn production.

Joomla 6.0.4: poprawki SQLi i XSS dla deweloperów
Advertisement 728x90

# Joomla 6.0.4 i 5.4.4: kluczowe poprawki bezpieczeństwa i naprawy błędów

Deweloperzy Joomla wydali wersje 6.0.4 i 5.4.4, skupiając się na eliminacji luk bezpieczeństwa i krytycznych błędów. Te wydania dotyczą rdzenia systemów serii 5.x i 6.x, wzmacniając ochronę przed wstrzyknięciami SQL, XSS i naruszeniami ACL. Aktualizacje są obowiązkowe dla wszystkich aktywnych instalacji, ponieważ wpływają na komponenty com_ajax, com_content i com_joomlaupdate.

Luki w rdzeniu: szczegółowa analiza

W aktualizacjach zamknięto sześć kluczowych wektorów ataku:

  • Core [20260301]: Wzmocnienie ACL w com_ajax, zapobiegające nieautoryzowanemu dostępowi do punktów końcowych AJAX.
  • Core [20260302]: Zablokowanie wstrzyknięcia SQL w serwisie webowym com_content dla punktu końcowego artykułów.
  • Core [20260303]: Usunięcie XSS w trybie porównywania asocjacji (com_associations).
  • Core [20260304]: Naprawa kilku XSS w renderowaniu nagłówków materiałów.
  • Core [20260305]: Zakaz dowolnego usuwania plików za pośrednictwem com_joomlaupdate.
  • Core [20260306]: Poprawna weryfikacja uprawnień dostępu w API serwisów webowych.

Te poprawki minimalizują ryzyko wykorzystania w środowiskach produkcyjnych, gdzie ispolzuyutsya dane wejściowe od użytkowników i interfejsy administracyjne.

Google AdInline article slot

Naprawy błędów w interfejsie i renderowaniu

Aktualizacje zawierają poprawki zapewniające stabilność panelu administracyjnego i frontendu:

  • Usunięto migotanie ikon w panelu bocznym administratora.
  • Stłumiono ostrzeżenia PHP w oknie modalnym „Przerwa strony”.
  • Znormalizowano renderowanie placeholderów przy żądaniach GET do treści.
  • Przywrócono ikonę edycji mediów przy braku wtyczek akcji.
  • Skorygowano ścieżki względne CSS/JS na stronach błędów szablonu Cassiopeia.

Takie zmiany poprawiają UX dla średniozaawansowanych i starszych deweloperów pracujących z niestandardowymi szablonami i rozszerzeniami.

Ulepszenia komponentów backendu

Skupienie na niezawodności usług systemowych:

Google AdInline article slot
  • Przycisk „Wersje” jest ukryty, gdy komponent historii treści jest wyłączony.
  • MailHelper teraz poprawnie parsuje domeny z niepoprawnymi znakami.
  • Harmonogram zadań (scheduler) jest odporny na zawieszone zadania — wykonanie kontynuuje się bez przerywania łańcucha.
  • TinyMCE inicjalizuje się stabilnie w Firefox Developer Edition.

Te poprawki są kluczowe dla zadań serwerowych, gdzie odporność na awarie wpływa na zadania cron i procesy zautomatyzowane.

Zalecenia dotyczące aktualizacji

Przed uaktualnieniem utwórz kopię zapasową bazy danych i systemu plików. Testuj na serwerze stagingowym, sprawdzając:

  • Działanie niestandardowych wtyczek w com_ajax i com_content.
  • Integracje z zewnętrznymi API za pośrednictwem serwisów webowych.
  • Renderowanie frontendu w asocjacjach i menedżerze mediów.

Po aktualizacji monitoruj logi pod kątem pozostałych ostrzeżeń PHP 8.x+.

Google AdInline article slot

Co ważne

  • Sześć luk podobnych do CVE w rdzeniu: SQLi, XSS, ACL i usuwanie plików.
  • Stabilizacja panelu admin: ikony, modale, placeholdery.
  • Poprawki backendu: scheduler, MailHelper, TinyMCE w Firefox.
  • Obowiązkowa aktualizacja dla wszystkich gałęzi LTS 5.x/6.x.

— Editorial Team

Advertisement 728x90

Czytaj dalej