Новости Joomla

👩‍💻 ⚠️ Если вы используете JBZoo - проверьте его на уязвимости.

‼️ 👩‍💻 Обновление безопасности для Tassos Framework!

‼️ 👩‍💻 Обновление безопасности для Tassos Framework!

7 января 2026 года греческому разработчику Тассосу Мариносу сообщили об уязвимости в системном плагине Tassos Framework, который входит в состав его расширений для Joomla.

⚠️ Проблема затрагивает следующие расширения:
- Convert Forms - конструктор форм обратной связи для Joomla
- EngageBox - конструктор всплывающих окон для Joomla
- Google Structured Data - пакет плагинов микроразметки для Joomla
- Advanced Custom Fields - пакет плагинов пользовательских полей (видео-сервисы, карты и иже с ними)
- Smile Pack - пакет расширений
- MailChimp Auto-Subscribe

Незамедлительно была проведена полная внутренняя проверка кода, внедрены дополнительные меры проверки и повышения безопасности, а также выпущены исправленные версии всех затронутых расширений. Проблема полностью решена.

👉 Суть уязвимости.
Уязвимость заключалась в том, как плагин Tassos Framework обрабатывал определенные AJAX-запросы через com_ajaxточку входа Joomla. При определенных условиях внутренняя функциональность фреймворка могла быть вызвана без надлежащих ограничений.

В худшем случае это могло позволить неавторизованному злоумышленнику читать файлы, доступные веб-серверу. Это также могло позволить удалять файлы с сервера при выполнении определенных условий.

При определенных обстоятельствах запросы к базе данных могли быть изменены для извлечения данных из базы данных Joomla. В совокупности эти возможности потенциально могли быть использованы для повышения уровня доступа и выполнения несанкционированного кода.

В настоящее время нет никаких доказательств того, что эта уязвимость была использована в реальных условиях.

Немедленно обновите расширения до безопасных версий (Joomla 4/5/6 | Joomla 3):
- Convert Forms - v5.1.1 / v.4.1.1
- EngageBox - v.7.1.1 / v,6,3,9
- Google Structured Data - v.6.1.1 / v.5.6.9
- Advanced Custom Fields - v.3.1.1 / v.2.8.10
- Smile Pack - v.2.1.1 / v.1.2.4.
- MailChimp Auto-Subscribe - v.5.1.1+ / v.5.0.4

Все указанные версии включают в себя релиз безопасности плагина Tassos Framework System Plugin v6.0.62.

Если у вас установлено несколько расширений Tassos, достаточно обновить только одно, чтобы применить патч. Однако всегда рекомендуется обновлять все расширения.

@joomlafeed

👩‍💻 Joomla включена в программу Google Summer of Code 2026.

👩‍💻 Joomla включена в программу Google Summer of Code 2026.

Google Summer of Code (GSoC) - программа компании Google, которая позволяет участникам программы под руководством опытных наставников писать код для организаций, занимающейся открытым исходным кодом. Joomla принимает участие в этой программе не в первый раз и в 2026 году снова включена в список GSoC. Для программы утверждается список "идей", воплотить которые должны участники под руководством наставников.

Проекты Joomla в рамках программы GSoC 2026.

Проект I: Ajax-бэкенд.
- Действия в административной панели без необходимости обновлять страницу.
- Автоматическое сохранение содержимого во время редактирования.
- Расширенный фильтр - поиск и фильтрация по пользовательским полям.

Проект II: Автоматизация рабочих процессов (workflow + task scheduler).
Joomla имеет функцию процессов и планировщика задач. Теперь эти две функции следует объединить, чтобы пользователь мог настраивать назначенные рабочие процессы таким образом, чтобы переходы выполнялись автоматически, с возможностью точного определения времени. Должна быть возможность создавать циклы или прямые запланированные рабочие процессы. Предполагается, что интерфейс должен учитывать хороший пользовательский опыт, удобство использования и современные стандарты доступности. Ожидается, что будет добавлен интерфейс для управления процессами и их расписанием на страницах категорий и материалов. Так же ожидается, что сторонние компоненты также смогут воспользоваться этим функционалом.

Проект III: Мультикатегории.
В настоящее время Joomla! не позволяет назначать один элемент нескольким категориям. Хотя система тегов часто используется в качестве замены, существует острая потребность в нативной поддержке нескольких категорий, чтобы привести Joomla! в соответствие с другими современными системами управления контентом.

Проект IV: Обучение с подкреплением на основе отзывов переводчиков.
Joomla собирается использовать автоматический перевод документации. В каждом языке есть свои специфические слова, характерные для Joomla. Предполагается обучать языковые модели, используя обратную связь от переводчиков, чтобы постоянно улучшать качество переводов и учитывать специфические языковые особенности Joomla.

Принять участие GSoC 2026
Подробнее о проектах Joomla GSoC 2026
Чат GSoC в Mattermost (международное сообщество Joomla)

1   Вниз
0 Пользователей и 1 Гость просматривают эту тему.
  • 28 Ответов
  • 13265 Просмотров
*

b2z

  • Глобальный модератор
  • 7288
  • 778 / 0
  • Разраблю понемногу
Вышел релиз безопасности Joomla! 3.9.3
« : 12.02.2019, 19:18:26 »
Доступна к загрузке Joomla! 3.9.3.

Это релиз безопасности и исправлений, незамедлительно рекомендуется к установке. Закрыто 6 уязвимостей низкого уровня.

Новость на русском
Официальная новость
Записан
*

Igor5

  • Захожу иногда
  • 101
  • 0 / 0
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #1 : 12.02.2019, 19:22:23 »
 ^-^ ^-^
Записан
*

lemur

  • Захожу иногда
  • 53
  • 0 / 0
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #2 : 12.02.2019, 21:48:42 »
Привет.
Я обновил до 3.9.3.
Но есть непонятность.
Joomla в Панели управления пишет "У вас есть важные системные сообщения (после установки или обновления), которые требуют вашего внимания."

Сообщение такое:
.htaccess & web.config security Update
Начиная с версии 3.9.3

Since Joomla 3.9.3, Joomla is shipped with additional security hardenings in the default htaccess.txt and web.config.txt files. ...Бла-бла.

The security teams recommends to manually apply the necessary changes to existing .htaccess or web.config files, as those files can not be updated automatically.

Changes for .htaccess
Add the following lines before "## Mod_rewrite in use.":
Код
<IfModule mod_headers.c>
Header always set X-Content-Type-Options "nosniff"
</IfModule>

Changes for web.config
Add the following lines right after "</rewrite>":
Код
<httpProtocol>
  <customHeaders>
    <add name="X-Content-Type-Options" value="nosniff" />
  </customHeaders>
</httpProtocol>

В файле web.config у меня нужные (новые) строки уже оказались на нужном месте, так что я ничего не меняю.

А вот в файле .htaccess вообще нет строки "## Mod_rewrite in use.":
Там всего 3 строки
Код
RewriteEngine On
RewriteCond %{SERVER_PORT} !^443$
RewriteRule (.*) https://%{HTTP_HOST}/$1 [R=301,L]

Что делать? Если я правильно понял союз or = или, можно не делать ничего, т.к. в web.config нужное есть.
Или?
Спасибо.
Записан
*

zikkuratvk

  • Глобальный модератор
  • 4824
  • 346 / 2
  • Обслуживаем проекты - дорого.
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #3 : 12.02.2019, 21:52:47 »
Чтоб ответить на этот вопрос надо сначала понять, какой вебсервер вы используете.
Записан
Хочется уникальное расширение? ===>>>> JoomLine - Разрабатываем расширения под заказ.
Использую хостинг TimeWeb и Reg
*

draff

  • Гуру
  • 5801
  • 434 / 7
  • ищу работу
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #4 : 12.02.2019, 21:59:09 »
Цитата: lemur от 12.02.2019, 21:48:42
А вот в файле .htaccess вообще нет строки "## Mod_rewrite in use.":
Там всего 3 строки
Наверно панель управления хостингом переписала стандартный .htaccess при включении SSL .  Обычно добавляется эта запись 3 строчки, вверху, а потом идут стандартные директивы Joomla .
Записан
*

lemur

  • Захожу иногда
  • 53
  • 0 / 0
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #5 : 12.02.2019, 22:51:19 »
Цитата: draff от 12.02.2019, 21:59:09
Наверно панель управления хостингом переписала стандартный .htaccess при включении SSL .  Обычно добавляется эта запись 3 строчки, вверху, а потом идут стандартные директивы Joomla .
Вы правы, на днях пересел на SSL.
Но кроме этих 3х строк (в файле в папке корня джумлы) ничего нет.
...
Цитата: zikkuratvk
Чтоб ответить на этот вопрос надо сначала понять, какой вебсервер вы используете.
Извините, не знаю что ответить. Называется WebHosting, есть место и базы данных.
......

А все-таки, хватит того, что в web.config нужное есть?
Спасибо.
« Последнее редактирование: 12.02.2019, 22:57:41 от lemur »
Записан
*

stepan39

  • Захожу иногда
  • 499
  • 28 / 0
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #6 : 12.02.2019, 23:27:04 »
Цитата: zikkuratvk от 12.02.2019, 21:52:47
Чтоб ответить на этот вопрос надо сначала понять, какой вебсервер вы используете.
.. и не включена ли уже эта функция в настройках сервера.

На автомате добавил в .htaccess рекомендуемый код, проверяю - в заголовке 2 одинаковых записи: X-Content-Type-Options:nosniff.
Это на шареде.
Записан
*

lemur

  • Захожу иногда
  • 53
  • 0 / 0
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #7 : 12.02.2019, 23:37:15 »
Цитата: stepan39 от 12.02.2019, 23:27:04
На автомате добавил в .htaccess рекомендуемый код, проверяю - в заголовке 2 одинаковых записи: X-Content-Type-Options:nosniff.
Это на шареде.
Извините, очень умно для меня. То есть у вас (после апдейта на 3.9.3?) все само поправилось?
Может и у меня с web.config все ок, и этого хватит?
Записан
*

lemur

  • Захожу иногда
  • 53
  • 0 / 0
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #8 : 13.02.2019, 01:14:49 »
Цитата: stepan39 от 12.02.2019, 23:27:04
.. и не включена ли уже эта функция в настройках сервера.
На автомате добавил в .htaccess рекомендуемый код, проверяю - в заголовке 2 одинаковых записи: X-Content-Type-Options:nosniff.

Только сейчас дошло - может быть подобным способом как-то проверить можно, удовлетворены ли требовани\ Joomla 3.9.3 на моем сервере? Надо вот это проверять "в заголовке 2 одинаковых записи: X-Content-Type-Options:nosniff."? А как?

Записан
*

Guran

  • Захожу иногда
  • 329
  • 22 / 0
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #9 : 13.02.2019, 03:10:03 »
Цитата: lemur от 12.02.2019, 23:37:15
Может и у меня с web.config все ок, и этого хватит?

Файл web.config используется, если на сервере установлена ОС Windows, но это вряд ли. Хотя все может быть, если при покупке выбрали её.

Цитата: lemur от 13.02.2019, 01:14:49
Надо вот это проверять "в заголовке 2 одинаковых записи: X-Content-Type-Options:nosniff."? А как?

В браузере откройте исходный код страницы.
Записан
*

bratsk12

  • Осваиваюсь на форуме
  • 36
  • 0 / 0
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #10 : 13.02.2019, 08:28:02 »
Тоже то то парюсь ))) Есть три файла: .htaccess  htaccess.txt и web.config.txt
В htaccess.txt есть  уже такая запись, начиная с 24 строки
Спойлер
[свернуть]
А вот в .htaccess этого нет Строка 19
Спойлер
[свернуть]

В файле web.config.txt рекомендуемые строки добавлены автоматически (хотя написано, что вроде как Joomla не может их обновить)
Вопрос: что и с каким из .htaccess  htaccess.txt делать? Добавить в .htaccess? Или оставить все как есть?
Записан
*

draff

  • Гуру
  • 5801
  • 434 / 7
  • ищу работу
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #11 : 13.02.2019, 08:32:13 »
Цитата: bratsk12 от 13.02.2019, 08:28:02
Вопрос: что и с каким из .htaccess  htaccess.txt делать? Добавить в .htaccess?
Добавить все директивы , которых нет в .htaccess, а есть в htaccess.txt     .
Записан
*

bratsk12

  • Осваиваюсь на форуме
  • 36
  • 0 / 0
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #12 : 13.02.2019, 08:34:45 »
Цитата: draff от 13.02.2019, 08:32:13
Добавить все директивы , которых нет в .htaccess, а есть в htaccess.txt     .
Спасибо! Сделаю сейчас!
Записан
*

stepan39

  • Захожу иногда
  • 499
  • 28 / 0
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #13 : 13.02.2019, 10:19:36 »
Цитата: lemur от 13.02.2019, 01:14:49
Только сейчас дошло - может быть подобным способом как-то проверить можно, удовлетворены ли требовани\ Joomla 3.9.3 на моем сервере? Надо вот это проверять "в заголовке 2 одинаковых записи: X-Content-Type-Options:nosniff."? А как?
https://2ip.ru/server-response/
Записан
*

stepan39

  • Захожу иногда
  • 499
  • 28 / 0
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #14 : 13.02.2019, 10:21:30 »
Цитата: Guran от 13.02.2019, 03:10:03
Файл web.config используется, если на сервере установлена ОС Windows, но это вряд ли. Хотя все может быть, если при покупке выбрали её.

В браузере откройте исходный код страницы.


И что Вы там увидите?  ;D
Записан
*

b2z

  • Глобальный модератор
  • 7288
  • 778 / 0
  • Разраблю понемногу
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #15 : 13.02.2019, 10:35:18 »
Добавил в новость про изменения в безопасности.
Записан
*

khan-alex

  • Давно я тут
  • 649
  • 30 / 1
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #16 : 13.02.2019, 12:03:33 »
Цитата: b2z от 13.02.2019, 10:35:18
Добавил в новость про изменения в безопасности.
Нужное обновление, пока на всех сайтах без крашей!
Записан
*

lemur

  • Захожу иногда
  • 53
  • 0 / 0
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #17 : 13.02.2019, 16:31:59 »
Цитата: draff от 13.02.2019, 08:32:13
Добавить все директивы , которых нет в .htaccess, а есть в htaccess.txt     .

Страшно брюсь все испортить (нет никаких знаний про сервера :-( ).
Поэтому хочу уточнить ваш совет.

1) У меня в .htaccess только 3 строки
Спойлер
[свернуть]
А в htaccess.txt очень много
Спойлер
[свернуть]
а) Надо все из htaccess.txt скопировать в htaccess?
б) ниже того, что в htaccess есть?

2) Строка
RewriteEngine On
есть в обоих файлах. Ее в скопированном тексте стираю, так?

3) В htaccess.txt есть много строк с RewriteCond (но такой как в htaccess нет. Пусть все будут, порядок не важен?

4) Про
RewriteRule (.*) https://%{HTTP_HOST}/$1 [R=301,L]
из htaccess в htaccess.txt есть какой-то коммент
Спойлер
[свернуть]
Оставить в htaccess как есть?

5) В htaccess.txt есть упоминание Joomla (# @package Joomla). Подозреваю, что Joomla при обновлении и написала в htaccess.txt нужные строки
Спойлер
[свернуть]
Как, кстати, и в web.config.

Может быть, предложение Joomla о Changes for .htaccess и Changes for web.config, с которого я начал хайп, лишнее и ничего делать вообще не надо?

Спасибо.

Записан
*

b2z

  • Глобальный модератор
  • 7288
  • 778 / 0
  • Разраблю понемногу
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #18 : 13.02.2019, 17:13:00 »
@lemur

Изменения для .htaccess

Добавить следующие строки перед "## Mod_rewrite in use." или "RewriteEngine On":

Код
<IfModule mod_headers.c>
    Header always set X-Content-Type-Options "nosniff"
</IfModule>
Записан
*

draff

  • Гуру
  • 5801
  • 434 / 7
  • ищу работу
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #19 : 13.02.2019, 20:06:50 »
Цитата: lemur от 13.02.2019, 16:31:59
а) Надо все из htaccess.txt скопировать в htaccess?
б) ниже того, что в htaccess есть?
Да. Но точнее можно посоветовать, если знать точно параметры вашего хостинга.
МОжет htaccess вообще не работает.
Записан
*

lemur

  • Захожу иногда
  • 53
  • 0 / 0
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #20 : 13.02.2019, 22:30:06 »
Цитата: b2z от 13.02.2019, 17:13:00
@lemur

Изменения для .htaccess

Добавить следующие строки перед "## Mod_rewrite in use." или "RewriteEngine On":
Код
<IfModule mod_headers.c>
    Header always set X-Content-Type-Options "nosniff"
</IfModule>

Спасибо.
Сделал
Записан
*

lemur

  • Захожу иногда
  • 53
  • 0 / 0
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #21 : 13.02.2019, 22:39:28 »
Цитата: draff от 13.02.2019, 20:06:50
а) Надо все из htaccess.txt скопировать в htaccess?
б) ниже того, что в htaccess есть?
Да.

Спасибо. Уже воспользовался советом, данным b2z чуть раньше.
Цитировать
Добавить следующие строки перед "RewriteEngine On":
Разница у вас и b2z в словах "перед" и "после". Но проверять не буду, т.к. не знаю как.
Надеюсь, вопрос закрыл.
Всем еще раз спасибо.
Записан
*

wishlight

  • Гуру
  • 5078
  • 320 / 1
  • От 300 руб быстрый хостинг. Сервера.
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #22 : 14.02.2019, 00:06:38 »
Ох.. Задали они мне с обновлением 14 часов работы. Спать хочу. Попали на дедлайн.
Записан
*

Guran

  • Захожу иногда
  • 329
  • 22 / 0
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #23 : 15.02.2019, 03:51:44 »
А для Nginx без Apache никаких нововведений нет? Как всегда, обошли стороной.

Цитата: stepan39 от 13.02.2019, 10:21:30
И что Вы там увидите?  ;D
Да хотел поумничать, а получилось - сглупил.
Записан
*

stepan39

  • Захожу иногда
  • 499
  • 28 / 0
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #24 : 15.02.2019, 06:31:38 »
Цитата: Guran от 15.02.2019, 03:51:44
А для Nginx без Apache никаких нововведений нет? Как всегда, обошли стороной.
Да хотел поумничать, а получилось - сглупил.
На VDS у меня голый nginx. В секции server конфига добавил это:

add_header X-Content-Type-Options nosniff;
Записан
*

Guran

  • Захожу иногда
  • 329
  • 22 / 0
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #25 : 15.02.2019, 09:10:53 »
Цитата: stepan39 от 15.02.2019, 06:31:38
На VDS у меня голый nginx. В секции server конфига добавил это:

add_header X-Content-Type-Options nosniff;

Спасибо. Я ещё такую строку видел: add_header X-XSS-Protection "1; mode=block";
Она аналогичная или отличается?
Записан
*

stepan39

  • Захожу иногда
  • 499
  • 28 / 0
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #26 : 15.02.2019, 10:04:20 »
Цитата: Guran от 15.02.2019, 09:10:53
add_header X-XSS-Protection
Погуглите. Первое что дает https://habr.com/ru/company/hosting-cafe/blog/315802/
Google, Facebook, Github используют этот заголовок, и большинство консультантов по предупреждению проникновений порекомендуют Вам его использовать.
Записан
*

draff

  • Гуру
  • 5801
  • 434 / 7
  • ищу работу
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #27 : 19.02.2019, 10:41:10 »
Ошибка в менеджере пользователей-Настройки
Код
Fatal error: Can't use function return value in write context in /layouts/joomla/form/field/subform/repeatable-table.php on line 59
PHP 5.4.3 Joomla 3.9.3. На сайте клиента PHP 5.4.3 Joomla 3.9.2 такой ошибки нет.
Оба сайта на локалке.
Решение. Убрать вызов JText::_() в условие проверки. Кстати этой проверки нет в Joomla 3.9.2 .
Код
if (!empty($field->description))
     {
       $table_head .= '<br /><small style="font-weight:normal">' . JText::_($field->description). '</small>';
     }
« Последнее редактирование: 19.02.2019, 11:01:26 от draff »
Записан
*

b2z

  • Глобальный модератор
  • 7288
  • 778 / 0
  • Разраблю понемногу
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #28 : 12.03.2019, 18:40:58 »
Записан
1   Вверх
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Не заходит в настройки шаблона Joomla 3.10.12

Автор peklor

 Ответов: 0
Просмотров: 451 		Последний ответ 12.02.2026, 15:21:36
от peklor
Нужна проф помощь в обновлении Joomla на лок.сервере osp. Можно платно

Автор Fati

 Ответов: 0
Просмотров: 5786 		Последний ответ 16.06.2025, 16:40:04
от Fati
Помогите с БАГом в панели администратора Joomla 3

Автор akteon25

 Ответов: 2
Просмотров: 2901 		Последний ответ 26.02.2025, 16:41:56
от akteon25
Версии РНР и Joomla 3

Автор Ebelous

 Ответов: 8
Просмотров: 4755 		Последний ответ 27.01.2025, 20:38:45
от pavelrer
Trouble Upgrading from Joomla 3.8 to 3.9

Автор melissa00

 Ответов: 0
Просмотров: 3424 		Последний ответ 26.07.2024, 10:03:51
от melissa00