Новости Joomla

👩‍💻 Extended Wishlist для JoomShopping 5+.

👩‍💻 Extended Wishlist для JoomShopping 5+.

Extended Wishlist — полностью переработанный список избранных товаров для JoomShopping 5+, значительно удобнее стандартного решения и расширяет его функциональность. Работает через AJAX, быстро и без перезагрузки страниц, обеспечивая современный UX.
- Мгновенная работа на AJAX
- Поддержка авторизованных и гостей
- Иконка добавления везде
- Добавление товаров без ограничений по атрибутам
- Wishlist прямо в корзине и при оформлении
- Собственные шаблоны и кастомизация
- Модуль количества избранного

Страница расширения

@joomlafeed

👩‍💻 ⚠️ Если вы используете JBZoo - проверьте его на уязвимости.

‼️ 👩‍💻 Обновление безопасности для Tassos Framework!

‼️ 👩‍💻 Обновление безопасности для Tassos Framework!

7 января 2026 года греческому разработчику Тассосу Мариносу сообщили об уязвимости в системном плагине Tassos Framework, который входит в состав его расширений для Joomla.

⚠️ Проблема затрагивает следующие расширения:
- Convert Forms - конструктор форм обратной связи для Joomla
- EngageBox - конструктор всплывающих окон для Joomla
- Google Structured Data - пакет плагинов микроразметки для Joomla
- Advanced Custom Fields - пакет плагинов пользовательских полей (видео-сервисы, карты и иже с ними)
- Smile Pack - пакет расширений
- MailChimp Auto-Subscribe

Незамедлительно была проведена полная внутренняя проверка кода, внедрены дополнительные меры проверки и повышения безопасности, а также выпущены исправленные версии всех затронутых расширений. Проблема полностью решена.

👉 Суть уязвимости.
Уязвимость заключалась в том, как плагин Tassos Framework обрабатывал определенные AJAX-запросы через com_ajaxточку входа Joomla. При определенных условиях внутренняя функциональность фреймворка могла быть вызвана без надлежащих ограничений.

В худшем случае это могло позволить неавторизованному злоумышленнику читать файлы, доступные веб-серверу. Это также могло позволить удалять файлы с сервера при выполнении определенных условий.

При определенных обстоятельствах запросы к базе данных могли быть изменены для извлечения данных из базы данных Joomla. В совокупности эти возможности потенциально могли быть использованы для повышения уровня доступа и выполнения несанкционированного кода.

В настоящее время нет никаких доказательств того, что эта уязвимость была использована в реальных условиях.

Немедленно обновите расширения до безопасных версий (Joomla 4/5/6 | Joomla 3):
- Convert Forms - v5.1.1 / v.4.1.1
- EngageBox - v.7.1.1 / v,6,3,9
- Google Structured Data - v.6.1.1 / v.5.6.9
- Advanced Custom Fields - v.3.1.1 / v.2.8.10
- Smile Pack - v.2.1.1 / v.1.2.4.
- MailChimp Auto-Subscribe - v.5.1.1+ / v.5.0.4

Все указанные версии включают в себя релиз безопасности плагина Tassos Framework System Plugin v6.0.62.

Если у вас установлено несколько расширений Tassos, достаточно обновить только одно, чтобы применить патч. Однако всегда рекомендуется обновлять все расширения.

@joomlafeed

1   Вниз
0 Пользователей и 1 Гость просматривают эту тему.
  • 8 Ответов
  • 13693 Просмотров
*

Gerostrat

  • Захожу иногда
  • 374
  • 2 / 0
  • Свидетель чайной ложки
Что за ?option=com_ajax&format=json
« : 30.08.2019, 11:31:04 »
Вот такой вот ерунды в логах 113 705 запросов за сутки. А всего запросов 405 950 шт.
Код
?option=com_ajax&format=json
Четверть всех запросов... Как-то многовато, как непонятно для чего :)
Кто знает, что это? И зачем? И может можно отрубить как-то?
Записан
*

Septdir

  • Живу я здесь
  • 3370
  • 168 / 4
Re: Что за?option=com_ajax&format=json
« Ответ #1 : 30.08.2019, 11:54:47 »
Цитата: Gerostrat от 30.08.2019, 11:31:04
Вот такой вот ерунды в логах 113 705 запросов за сутки. А всего запросов 405 950 шт.
Код
?option=com_ajax&format=json
Четверть всех запросов... Как-то многовато, как непонятно для чего :)
Кто знает, что это? И зачем? И может можно отрубить как-то?
Обращение на com_ajax может быть использованно в шаблоне, модуле или плагине. Учитывая что формат ответа json это какой-то AJAX скрипт.
Всю ссылку покажите.
Записан
Не можете справиться с задачей сами пишите, решу ее за вас, не бесплатно*.
*Интересная задача, Деньги или Бартер. Натурой не беру!
CodersRank | Контакты | Мой GitHub | Workshop
*

Gerostrat

  • Захожу иногда
  • 374
  • 2 / 0
  • Свидетель чайной ложки
Re: Что за?option=com_ajax&format=json
« Ответ #2 : 30.08.2019, 11:57:44 »
Цитата: Septdir от 30.08.2019, 11:54:47
Всю ссылку покажите.
Ну, вот запрос
Код
37.30.52.245 - - [23/Aug/2019:16:49:56 +0300] "GET /ru/?option=com_ajax&format=json HTTP/1.1" 200 59 "https://floristics.info/ru/stati/sadovodstvo/2434-gibiskus-posadka-i-ukhod-razmnozhenie-i-vyrashchivanie.html" "Mozilla/5.0 (iPhone; CPU iPhone OS 11_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/11.0 Mobile/15E148 Safari/604.1"
Вот код на странице
Код
<script type="application/json" class="joomla-script-options new">{"csrf.token":"1d16110417b14018e6fb3ce33ed07a5b","system.paths":{"root":"","base":""},"system.keepalive":{"interval":1740000,"uri":"\/ru\/component\/ajax\/?format=json"},"joomla.jtext":{"JLIB_FORM_FIELD_INVALID":"\u041d\u0435\u043a\u043e\u0440\u0440\u0435\u043a\u0442\u043d\u043e \u0437\u0430\u043f\u043e\u043b\u043d\u0435\u043d\u043e \u043f\u043e\u043b\u0435:&#160;"}}</script>


Если не залогинен, а в режиме инкогнито смотреть, то нет такой беды.
« Последнее редактирование: 30.08.2019, 12:02:32 от Gerostrat »
Записан
*

ProtectYourSite

  • Живу я здесь
  • 2368
  • 139 / 4
  • Безопасность вебсайтов
Re: Что за?option=com_ajax&amp;format=json
« Ответ #3 : 30.08.2019, 13:55:03 »
Это keep-alive скрипт для поддержания сессии можно так сказать
Записан
*

Gerostrat

  • Захожу иногда
  • 374
  • 2 / 0
  • Свидетель чайной ложки
Re: Что за?option=com_ajax&amp;amp;format=json
« Ответ #4 : 30.08.2019, 14:12:15 »
Спасибо. Но вот я и заметил кучу новых скриптов. Пурифай, валидэйт. А совсем недавно ещё не было ничего такого...

Что я мог такое включить, что оно теперь загружается? :-)
Записан
*

Septdir

  • Живу я здесь
  • 3370
  • 168 / 4
Re: Что за?option=com_ajax&amp;format=json
« Ответ #5 : 30.08.2019, 14:33:16 »
Цитата: Gerostrat от 30.08.2019, 14:12:15
Что я мог такое включить, что оно теперь загружается? :-)
Какая-то форма.
Записан
Не можете справиться с задачей сами пишите, решу ее за вас, не бесплатно*.
*Интересная задача, Деньги или Бартер. Натурой не беру!
CodersRank | Контакты | Мой GitHub | Workshop
*

Gerostrat

  • Захожу иногда
  • 374
  • 2 / 0
  • Свидетель чайной ложки
Re: Что за?option=com_ajax&amp;format=json
« Ответ #6 : 30.08.2019, 15:34:40 »
Спасибо!
Единственная форма, которая есть на сайте – комментарии.
На страницах с формой – скрипты грузятся, на страницах без – нет. Но, опять таки, буквально пару дней назад не было их.
1. Не было этого
Код
<script type="application/json" class="joomla-script-options new">{"csrf.token":"cf16b3714da29277ddc4caa823f62029","system.paths":{"root":"","base":""},"system.keepalive":{"interval":1740000,"uri":"\/ru\/component\/ajax\/?format=json"},"joomla.jtext":{"JLIB_FORM_FIELD_INVALID":"\u041d\u0435\u043a\u043e\u0440\u0440\u0435\u043a\u0442\u043d\u043e \u0437\u0430\u043f\u043e\u043b\u043d\u0435\u043d\u043e \u043f\u043e\u043b\u0435: "}}</script>

2. Не было вот этого всего
Код
	<script src="/media/template/gzip.php?extravote-bcf5c9aa.js" type="text/javascript" defer="defer"></script>
	<script src="/media/template/gzip.php?core-22dddab1.js" type="text/javascript" defer="defer"></script>
	<!--[if lt IE 9]><script src="/media/template/gzip.php?polyfill.event-9827b925.js" type="text/javascript" defer="defer"></script><![endif]-->
	<script src="/media/template/gzip.php?keepalive-146eef15.js" type="text/javascript" defer="defer"></script>
	<script src="/media/template/gzip.php?punycode-e5f8bcfa.js" type="text/javascript" defer="defer"></script>
	<script src="/media/template/gzip.php?validate-7d44e40e.js" type="text/javascript" defer="defer"></script>
Может же быть такое, что раньше это не грузилось, а комментарии работали при этом?..
Записан
*

Gerostrat

  • Захожу иногда
  • 374
  • 2 / 0
  • Свидетель чайной ложки
Re: Что за?option=com_ajax&amp;format=json
« Ответ #7 : 30.08.2019, 19:32:12 »
Кстати, а можно как-то в htaccess закрыть доступ вот к таким ссылкам? Посмотрел, а у меня в таблице 600 000+ записей с попытками перейти по ссылкам типа:

1. index.php?option=com_easyblog&view=dashboard&layout=write
2. ?option=com_ajax&format=json
3. wp-admin

EasyBlog не установлен
И сайт не на WordPress :)
И ?option=com_ajax&format=json обращаются каждую секунду... Просто запретить и всего дело :)
Записан
*

Septdir

  • Живу я здесь
  • 3370
  • 168 / 4
Re: Что за?option=com_ajax&amp;format=json
« Ответ #8 : 31.08.2019, 01:18:17 »
Цитата: Gerostrat от 30.08.2019, 15:34:40
Может же быть такое, что раньше это не грузилось, а комментарии работали при этом?..
Ну к примеру раньше была только бек валидация, а теперь автор решил добавить фронт. Это положительный варинант.
Отрицательный это вообще левые вредоностные скрпты =)
Записан
Не можете справиться с задачей сами пишите, решу ее за вас, не бесплатно*.
*Интересная задача, Деньги или Бартер. Натурой не беру!
CodersRank | Контакты | Мой GitHub | Workshop
1   Вверх
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Ошибка в админке: "Call to a member function format() on null"

Автор AndreN

 Ответов: 29
Просмотров: 28525 		Последний ответ 16.02.2021, 09:29:05
от mius
[РЕШЕНО] Аналог format=raw

Автор effrit

 Ответов: 1
Просмотров: 706 		Последний ответ 23.03.2020, 08:54:32
от effrit
Выборка по Json данным из БД

Автор ghostcom

 Ответов: 12
Просмотров: 1172 		Последний ответ 21.03.2019, 15:35:21
от AlekVolsk
component/ajax/?format=json

Автор natashalina

 Ответов: 5
Просмотров: 1207 		Последний ответ 15.11.2018, 12:52:28
от draff
Joomla 3.6.5 com_content params переписывается в пустой json с полями?

Автор pavelrer

 Ответов: 0
Просмотров: 876 		Последний ответ 28.10.2018, 11:30:30
от pavelrer