Новости Joomla

👩‍💻 CMS Joomla победила в премии CMS Critics Awards - People's Choice Awards 2025.

👩‍💻 CMS Joomla победила в премии CMS Critics Awards - People's Choice Awards 2025.

С 2012 года премия CMS Critic Awards отмечает выдающиеся достижения сообщества CMS, награждая разработчиков за их инновации и сервис.
С конца декабря начинается номинирование CMS для участие в премии, которое заканчивается в январе. Из всех номинантов отбирается top 5. Затем в течение февраля идёт голосование.

В 2025 году:
⭐️ Best Free CMS: Joomla!
⭐️ Best Open Source CMS: Joomla!

Подобные рейтинги и награды оценивают технологичность, активность и консолидацию сообщества, складывающегося вокруг каждой CMS.

https://cmscritic.com/lights-camera-community-action-here-are-the-winners-of-the-14th-annual-cms-critic-awards

👩‍💻 Плагин микроразметки Schema.org в в пункте меню Joomla.

‼️👩‍💻 Релиз безопасности Astroid 3.3.11 - шаблона-конструктора для Joomla.

‼️👩‍💻 Релиз безопасности Astroid 3.3.11 - шаблона-конструктора для Joomla.

14 часов назад (на момент публикации заметки) была обнаружена уязвимость в популярном шаблоне-конструкторе Astroid Framework. При атаке на сайт устанавливается бэкдор — системный плагин под названием plg_system_blpayload. Если вы обнаружили этот плагин на своем веб-сайте, значит, он скомпрометирован, и вам необходимо восстановить чистую резервную копию, созданную до установки плагина.

Уязвимость позволяет загружать файлы на сайт и в дальнейшем получить права администратора Joomla.
В рамках атаки (из-за которой и была обнаружена уязвимость) на сайт устанавливался плагин plg_system_blpayload, который при каждой загрузке страницы снаружи он скрытно связывается с (платформой для SEO, работающей на черном рынке (ссылку помещать не будем, просим поверить на слово). Получает список скрытых спам-ссылок (сайты азартных игр, фишинга, мошенничества), подобранный под ваш домен, затем внедряет эти ссылки в HTML-код вашей страницы непосредственно перед рендером - невидимые для посетителей, но полностью читаемые поисковыми роботами. Это называется "отравление SEO" ("отрпавление поисковой выдачи").

Однако, эта уязвимость может использоваться в других целях. Поэтому необходимо срочно проверить ваши сайты, где стоит Astroid Framework и обновить его до версии не ниже 3.3.11. Релиз безопасности выпущен 4 часа назад (на момент написания заметки).

Скачать релиз безопасности Astroid

@joomlafeed

1   Вниз
0 Пользователей и 1 Гость просматривают эту тему.
  • 20 Ответов
  • 3586 Просмотров
*

imanager

  • Новичок
  • 9
  • 0 / 1
JomSocial XSS Injection [Security patch for 1.6.x, 1.8.x and 2.0.x]
« : 23.12.2010, 14:33:42 »
Опубликована статья JomSocial XSS Injection [Security patch for 1.6.x, 1.8.x and 2.0.x]

Был обнаружен баг JomSocial v 1.6.x, 1.8.x and 2.0.x  XSS attacks in video / comments

Критическая уязвимость позволяла злоумышленникам выполнить XSS-атаку в комментариях к видео выполнить вредоносный код:

Информацию об уязвимости а также Патчи  :D, которые вышли сегодня для JomSocial

Можно получить из первых уст http://ruzmanoff.com/jomsocial-security-patch-for-1-6-x-1-8-x-and-2-0-x
На этом сайте статья о найденной уязвимости и есть ссылка на официальный сайт компонента где лежат патчи
« Последнее редактирование: 23.12.2010, 14:45:04 от imanager »
Записан
*

b2z

  • Глобальный модератор
  • 7288
  • 778 / 0
  • Разраблю понемногу
Re: JomSocial XSS Injection [Security patch for 1.6.x, 1.8.x and 2.0.x]
« Ответ #1 : 23.12.2010, 14:42:59 »
Поставил на 1.8.11 - вроде все ок.
Записан
*

kharol

  • Moderator
  • 1721
  • 217 / 0
Re: JomSocial XSS Injection [Security patch for 1.6.x, 1.8.x and 2.0.x]
« Ответ #2 : 23.12.2010, 18:49:59 »
Please take note that we have only tested the patches on the 1.6.x , 1.8.x and 2.0.x releases.
The patches will also be deployed on our latest stable release 2.0.4 which can be downloaded from your account area at http://jomsocial.com/download.html shortly.
Записан
Чтобы сказать "спасибо" достаточно нажать на "+"
Чтобы сделать бухгалтерскую проводку "спасибо" реквизиты: R192102130372, ЯД:41001768818003
*

imanager

  • Новичок
  • 9
  • 0 / 1
Re: JomSocial XSS Injection [Security patch for 1.6.x, 1.8.x and 2.0.x]
« Ответ #3 : 23.12.2010, 18:58:58 »
 ;D Пожалуйста, обратите внимание, что мы только протестировали патчи на 1.6.x, 1.8.x и 2.0.x выпуски.

Патчи будут также развернуты на нашей последней стабильной версии 2.0.4, которая может быть загружена с Вашей области учетной записи в http://jomsocial.com/download.html скоро.
Записан
*

kharol

  • Moderator
  • 1721
  • 217 / 0
Re: JomSocial XSS Injection [Security patch for 1.6.x, 1.8.x and 2.0.x]
« Ответ #4 : 23.12.2010, 19:28:33 »
Я не о патче... Я подчеркнул ключевое слово 2.0.4... Следующая версия будет называться уже stable
На 2-3 недели... до следующей stable 2.0.5
« Последнее редактирование: 29.12.2010, 11:36:08 от kharol »
Записан
Чтобы сказать "спасибо" достаточно нажать на "+"
Чтобы сделать бухгалтерскую проводку "спасибо" реквизиты: R192102130372, ЯД:41001768818003
*

Bokas

  • Осваиваюсь на форуме
  • 26
  • 0 / 0
Re: JomSocial XSS Injection [Security patch for 1.6.x, 1.8.x and 2.0.x]
« Ответ #5 : 04.12.2011, 21:42:11 »
Добрый день! Столкнулся с проблемой ,  а Google указал на этот топик. :-)  У меня в JomSocial при  регистрации есть поле с определенными выбором(несколько заданных вариантов для выбора). Но с недавнего времени  начинают появляться анкеты , с произвольным текстом по этому полю . К примеру : есть 1х, 2х, 3х (елемент Select) - можно выбрать только один из вариантов (по идеи), но каким то образом кто то вписывет туда произвольный текст. Как этого не допустить? Где дырка ?  версия 1.8.8. Стоит ли делать обновление ? Спасибо

А может дело в джумле ... ?  обновил с 1.5.22 до 1.5.25
« Последнее редактирование: 04.12.2011, 22:42:53 от Bokas »
Записан
*

kharol

  • Moderator
  • 1721
  • 217 / 0
Re: JomSocial XSS Injection [Security patch for 1.6.x, 1.8.x and 2.0.x]
« Ответ #6 : 06.12.2011, 09:41:08 »
1) Если четно не понятно о чем Вы говорите... Просмотрите поля профиля в настройках JomSocial
2) Версия компонента настолько стара, и к тому же не из разряда стабильных, что решать проблемы с ней не имеет смысла, многое было переделано и поправлено в последующих версиях
Записан
Чтобы сказать "спасибо" достаточно нажать на "+"
Чтобы сделать бухгалтерскую проводку "спасибо" реквизиты: R192102130372, ЯД:41001768818003
*

Bokas

  • Осваиваюсь на форуме
  • 26
  • 0 / 0
Re: JomSocial XSS Injection [Security patch for 1.6.x, 1.8.x and 2.0.x]
« Ответ #7 : 06.12.2011, 13:17:44 »
Какую версию посоветуете поставить ? Возможен ли просто апдейт ? Спасибо
Записан
*

Bokas

  • Осваиваюсь на форуме
  • 26
  • 0 / 0
Re: JomSocial XSS Injection [Security patch for 1.6.x, 1.8.x and 2.0.x]
« Ответ #8 : 06.12.2011, 14:50:03 »
возможен ли апдейт с 1.8.8 до 2.2.0 ? Joomla 1.5.25 подойдет для JomSocial 2.X.X ?
Записан
*

kharol

  • Moderator
  • 1721
  • 217 / 0
Re: JomSocial XSS Injection [Security patch for 1.6.x, 1.8.x and 2.0.x]
« Ответ #9 : 06.12.2011, 16:43:57 »
Даже до 2.4.1 возможен. Обычным обновлением поверх
Записан
Чтобы сказать "спасибо" достаточно нажать на "+"
Чтобы сделать бухгалтерскую проводку "спасибо" реквизиты: R192102130372, ЯД:41001768818003
*

Bokas

  • Осваиваюсь на форуме
  • 26
  • 0 / 0
Re: JomSocial XSS Injection [Security patch for 1.6.x, 1.8.x and 2.0.x]
« Ответ #10 : 06.12.2011, 18:21:00 »
я правильно понимаю , сейчас же есть только платные версии ?  Стоит ли покупать за 150 уе платную версию , какие приимущества в ней ? Исправлены ли все баги ?
« Последнее редактирование: 06.12.2011, 18:29:46 от Bokas »
Записан
*

kharol

  • Moderator
  • 1721
  • 217 / 0
Re: JomSocial XSS Injection [Security patch for 1.6.x, 1.8.x and 2.0.x]
« Ответ #11 : 06.12.2011, 23:29:35 »
Какие преимущества у версии на варезных помойках? Там исправлены все баги?
Записан
Чтобы сказать "спасибо" достаточно нажать на "+"
Чтобы сделать бухгалтерскую проводку "спасибо" реквизиты: R192102130372, ЯД:41001768818003
*

Bokas

  • Осваиваюсь на форуме
  • 26
  • 0 / 0
Re: JomSocial XSS Injection [Security patch for 1.6.x, 1.8.x and 2.0.x]
« Ответ #12 : 07.12.2011, 17:45:48 »
Купил Про Едишн. Поставил согласно инструкции на оф сайте. После установки все надписи такого типа и в админке и на сайте:
COM_COMMUNITY_INSTALLATION_INSTALLATION.....
COM_COMMUNITY_INSTALLATION_DONE

Помогите пожалуйста решить проблему.
Записан
*

kharol

  • Moderator
  • 1721
  • 217 / 0
Re: JomSocial XSS Injection [Security patch for 1.6.x, 1.8.x and 2.0.x]
« Ответ #13 : 07.12.2011, 18:28:11 »
очевидно у Вас стояли файлы русификации, но для какой то старой версии компонента. Обновите русификацию.
Записан
Чтобы сказать "спасибо" достаточно нажать на "+"
Чтобы сделать бухгалтерскую проводку "спасибо" реквизиты: R192102130372, ЯД:41001768818003
*

Bokas

  • Осваиваюсь на форуме
  • 26
  • 0 / 0
Re: JomSocial XSS Injection [Security patch for 1.6.x, 1.8.x and 2.0.x]
« Ответ #14 : 07.12.2011, 18:37:59 »
Где можно ее взять в нормальном виде ?
Записан
*

Bokas

  • Осваиваюсь на форуме
  • 26
  • 0 / 0
Re: JomSocial XSS Injection [Security patch for 1.6.x, 1.8.x and 2.0.x]
« Ответ #15 : 07.12.2011, 18:40:00 »
 скачал с оф сайта , сейчас попробую
Записан
*

Bokas

  • Осваиваюсь на форуме
  • 26
  • 0 / 0
Re: JomSocial XSS Injection [Security patch for 1.6.x, 1.8.x and 2.0.x]
« Ответ #16 : 07.12.2011, 18:49:50 »
Все :-), но только панель пользователя на странице на английском Friends, Profile  и тп. Что с этим делать ?
Записан
*

alex54

  • Захожу иногда
  • 157
  • 3 / 1
Re: JomSocial XSS Injection [Security patch for 1.6.x, 1.8.x and 2.0.x]
« Ответ #17 : 07.12.2011, 20:04:40 »
меню - JomSocial toolbar - там пункты переводишь на рус
Записан
*

Bokas

  • Осваиваюсь на форуме
  • 26
  • 0 / 0
Re: JomSocial XSS Injection [Security patch for 1.6.x, 1.8.x and 2.0.x]
« Ответ #18 : 07.12.2011, 23:48:55 »
 ^-^ спасибо.
Записан
*

Bokas

  • Осваиваюсь на форуме
  • 26
  • 0 / 0
Re: JomSocial XSS Injection [Security patch for 1.6.x, 1.8.x and 2.0.x]
« Ответ #19 : 09.12.2011, 03:12:05 »
Вот та же проблема, о которой я писал, выше. При регистрации (когда поля заполняешь на второй странице после CAPTCHA) в элементе SELECT, который подразумевает выбор одного из предложенных обязательных вариантов. Жму в Google Хроме F12 нахожу этот элемент и пишу там что мне вздумаеться, добавляю selected. И эта информация так и записывается в анкету без проверок. Бред какой то :-( . Что делать ?
В багах поискал - ничего такого не нашел.
« Последнее редактирование: 09.12.2011, 03:36:32 от Bokas »
Записан
*

Bokas

  • Осваиваюсь на форуме
  • 26
  • 0 / 0
Re: JomSocial XSS Injection [Security patch for 1.6.x, 1.8.x and 2.0.x]
« Ответ #20 : 12.12.2011, 02:44:29 »
 Никто не сталкивался чтоли ?
Записан
1   Вверх
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Регистрация и Авторизация в JomSocial - проблемы, вопросы

Автор AlexAl

 Ответов: 294
Просмотров: 85575 		Последний ответ 15.05.2019, 16:08:31
от AdWeb
Подключение JomSocial к Amazon S3 | Нужна помощь?

Автор Wassup

 Ответов: 14
Просмотров: 9856 		Последний ответ 07.04.2019, 09:38:31
от powerful888
Как изменить поля регистрации в JomSocial?

Автор 1ncom1ng

 Ответов: 7
Просмотров: 7795 		Последний ответ 29.03.2019, 01:03:37
от DomBeri
Письма уведомления от JomSocial

Автор coder-max

 Ответов: 84
Просмотров: 22809 		Последний ответ 12.01.2017, 18:07:39
от FitMe
Вопросы по настройке JomSocial

Автор evteev

 Ответов: 37
Просмотров: 20741 		Последний ответ 17.07.2015, 00:34:21
от belperson