Joomla 6.0.4 和 5.4.4:关键安全补丁与错误修复
Joomla 开发团队发布了 6.0.4 和 5.4.4 版本,主要针对漏洞和关键错误进行修复。这些版本影响 5.x 和 6.x 系列的核心,加强了对 SQL 注入、XSS 和 ACL 违规的防御。所有活跃安装均需强制更新,因为这些问题涉及 com_ajax、com_content 和 com_joomlaupdate 组件。
核心漏洞:详细分析
本次更新修补了六个关键攻击向量:
- Core [20260301]:强化 com_ajax 中的 ACL,防止未经授权访问 AJAX 端点。
- Core [20260302]:阻止 com_content 文章端点的 Web 服务中的 SQL 注入。
- Core [20260303]:修复关联比较模式(com_associations)中的 XSS。
- Core [20260304]:解决材料头部渲染中的多个 XSS 问题。
- Core [20260305]:禁止通过 com_joomlaupdate 任意删除文件。
- Core [20260306]:正确验证 Web 服务 API 中的访问权限。
这些补丁降低了生产环境中用户输入和管理员界面相关的利用风险。
界面与渲染错误修复
更新包括对管理员面板和前端稳定性的修复:
- 消除管理员侧边栏中的图标闪烁。
- 抑制“分页符”模态窗口中的 PHP 警告。
- 标准化内容 GET 请求的占位符渲染。
- 当动作插件缺失时,恢复媒体编辑图标。
- 修复 Cassiopeia 模板错误页面的相对 CSS/JS 路径。
这些改动提升了中高级开发者在使用自定义模板和扩展时的用户体验。
后端组件改进
重点提升系统服务的可靠性:
- 当内容历史组件禁用时,隐藏“版本”按钮。
- MailHelper 现在能正确解析包含无效字符的域名。
- 任务调度器对挂起任务具有弹性——执行链不会中断继续进行。
- TinyMCE 在 Firefox Developer Edition 中可靠初始化。
这些修复对于服务器任务至关重要,其中容错性会影响 cron 任务和自动化流程。
升级建议
升级前,请备份数据库和文件系统。在 staging 服务器上测试,验证以下内容:
- com_ajax 和 com_content 上的自定义插件。
- 通过 Web 服务与外部 API 的集成。
- 关联和媒体管理器中的前端渲染。
更新后,监控日志中任何残留的 PHP 8.x+ 警告。
关键要点
- 核心中六个类似 CVE 的漏洞:SQLi、XSS、ACL 和文件删除。
- 管理员界面稳定化:图标、模态窗口、占位符。
- 后端修复:调度器、MailHelper、Firefox 中的 TinyMCE。
- 所有 5.x/6.x LTS 分支强制更新。
— Editorial Team
暂无评论。