Новости Joomla

‼️ 👩‍💻 Обновление безопасности для Tassos Framework!

‼️ 👩‍💻 Обновление безопасности для Tassos Framework!

7 января 2026 года греческому разработчику Тассосу Мариносу сообщили об уязвимости в системном плагине Tassos Framework, который входит в состав его расширений для Joomla.

⚠️ Проблема затрагивает следующие расширения:
- Convert Forms - конструктор форм обратной связи для Joomla
- EngageBox - конструктор всплывающих окон для Joomla
- Google Structured Data - пакет плагинов микроразметки для Joomla
- Advanced Custom Fields - пакет плагинов пользовательских полей (видео-сервисы, карты и иже с ними)
- Smile Pack - пакет расширений
- MailChimp Auto-Subscribe

Незамедлительно была проведена полная внутренняя проверка кода, внедрены дополнительные меры проверки и повышения безопасности, а также выпущены исправленные версии всех затронутых расширений. Проблема полностью решена.

👉 Суть уязвимости.
Уязвимость заключалась в том, как плагин Tassos Framework обрабатывал определенные AJAX-запросы через com_ajaxточку входа Joomla. При определенных условиях внутренняя функциональность фреймворка могла быть вызвана без надлежащих ограничений.

В худшем случае это могло позволить неавторизованному злоумышленнику читать файлы, доступные веб-серверу. Это также могло позволить удалять файлы с сервера при выполнении определенных условий.

При определенных обстоятельствах запросы к базе данных могли быть изменены для извлечения данных из базы данных Joomla. В совокупности эти возможности потенциально могли быть использованы для повышения уровня доступа и выполнения несанкционированного кода.

В настоящее время нет никаких доказательств того, что эта уязвимость была использована в реальных условиях.

Немедленно обновите расширения до безопасных версий (Joomla 4/5/6 | Joomla 3):
- Convert Forms - v5.1.1 / v.4.1.1
- EngageBox - v.7.1.1 / v,6,3,9
- Google Structured Data - v.6.1.1 / v.5.6.9
- Advanced Custom Fields - v.3.1.1 / v.2.8.10
- Smile Pack - v.2.1.1 / v.1.2.4.
- MailChimp Auto-Subscribe - v.5.1.1+ / v.5.0.4

Все указанные версии включают в себя релиз безопасности плагина Tassos Framework System Plugin v6.0.62.

Если у вас установлено несколько расширений Tassos, достаточно обновить только одно, чтобы применить патч. Однако всегда рекомендуется обновлять все расширения.

@joomlafeed

👩‍💻 Joomla включена в программу Google Summer of Code 2026.

👩‍💻 Joomla включена в программу Google Summer of Code 2026.

Google Summer of Code (GSoC) - программа компании Google, которая позволяет участникам программы под руководством опытных наставников писать код для организаций, занимающейся открытым исходным кодом. Joomla принимает участие в этой программе не в первый раз и в 2026 году снова включена в список GSoC. Для программы утверждается список "идей", воплотить которые должны участники под руководством наставников.

Проекты Joomla в рамках программы GSoC 2026.

Проект I: Ajax-бэкенд.
- Действия в административной панели без необходимости обновлять страницу.
- Автоматическое сохранение содержимого во время редактирования.
- Расширенный фильтр - поиск и фильтрация по пользовательским полям.

Проект II: Автоматизация рабочих процессов (workflow + task scheduler).
Joomla имеет функцию процессов и планировщика задач. Теперь эти две функции следует объединить, чтобы пользователь мог настраивать назначенные рабочие процессы таким образом, чтобы переходы выполнялись автоматически, с возможностью точного определения времени. Должна быть возможность создавать циклы или прямые запланированные рабочие процессы. Предполагается, что интерфейс должен учитывать хороший пользовательский опыт, удобство использования и современные стандарты доступности. Ожидается, что будет добавлен интерфейс для управления процессами и их расписанием на страницах категорий и материалов. Так же ожидается, что сторонние компоненты также смогут воспользоваться этим функционалом.

Проект III: Мультикатегории.
В настоящее время Joomla! не позволяет назначать один элемент нескольким категориям. Хотя система тегов часто используется в качестве замены, существует острая потребность в нативной поддержке нескольких категорий, чтобы привести Joomla! в соответствие с другими современными системами управления контентом.

Проект IV: Обучение с подкреплением на основе отзывов переводчиков.
Joomla собирается использовать автоматический перевод документации. В каждом языке есть свои специфические слова, характерные для Joomla. Предполагается обучать языковые модели, используя обратную связь от переводчиков, чтобы постоянно улучшать качество переводов и учитывать специфические языковые особенности Joomla.

Принять участие GSoC 2026
Подробнее о проектах Joomla GSoC 2026
Чат GSoC в Mattermost (международное сообщество Joomla)

Вышли релизы Joomla 6.0.3 и Joomla 5.4.3

Релиз Joomla 6.0.3 и Joomla 5.4.3

Проект Joomla рад сообщить о выпуске Joomla 6.0.3 и Joomla 5.4.3. Это релиз исправлений ошибок и улучшений для серии Joomla 6.0 и Joomla 5.4.

1   Вниз
0 Пользователей и 1 Гость просматривают эту тему.
  • 14 Ответов
  • 1002 Просмотров
*

kik84

  • Завсегдатай
  • 1350
  • 64 / 4
Рэндомное изображение в модуле через background
« : 15.02.2020, 19:33:08 »
Подскажите, как модифицировать код в модуле, чтобы он выводил рэндомное изображение через <div style="background-image: <?php  ... ?>"></div>
а не как сейчас:
Код
<?php echo JHtml::_('image', $image->folder . '/' . htmlspecialchars($image->name, ENT_COMPAT, 'UTF-8'), htmlspecialchars($image->name, ENT_COMPAT, 'UTF-8'), array('width' => $image->width, 'height' => $image->height)); ?>
Записан
*

sivers

  • Живу я здесь
  • 2606
  • 361 / 0
Re: Рэндомное изображение в модуле через background
« Ответ #1 : 15.02.2020, 20:44:56 »
$image - это рандомное изображение?
или рандомное из какой-то папки?
Записан
На связи в telegram @sivers
sivers @ inbox . ru
https://sivers.su/
*

kik84

  • Завсегдатай
  • 1350
  • 64 / 4
Re: Рэндомное изображение в модуле через background
« Ответ #2 : 15.02.2020, 21:23:31 »
Цитата: sivers от 15.02.2020, 20:44:56
$image - это рандомное изображение?
или рандомное из какой-то папки?

Из папки, которая в настройках модуля указывается.
Записан
*

sivers

  • Живу я здесь
  • 2606
  • 361 / 0
Re: Рэндомное изображение в модуле через background
« Ответ #3 : 15.02.2020, 21:42:39 »
Код
$files = glob($dir.'/*.jpg');
if(!empty($files)){
    $randIndex = array_rand($files);
    $randFile = $files[$randIndex];
    $size = getimagesize($randFile);
    $randFile = str_replace(JPATH_SITE, '', $randFile);
    echo '<div style="background-image:'.$randFile.'; width:'.$size[0].'px; height:'.$size[1].'px;"></div>';
}

$dir - полный путь к папке с картинками без завершающего слеша.
Записан
На связи в telegram @sivers
sivers @ inbox . ru
https://sivers.su/
*

kik84

  • Завсегдатай
  • 1350
  • 64 / 4
Re: Рэндомное изображение в модуле через background
« Ответ #4 : 15.02.2020, 22:19:22 »
Цитата: sivers от 15.02.2020, 21:42:39
Код
$files = glob($dir.'/*.jpg');
if(!empty($files)){
    $randIndex = array_rand($files);
    $randFile = $files[$randIndex];
    $size = getimagesize($randFile);
    $randFile = str_replace(JPATH_SITE, '', $randFile);
    echo '<div style="background-image:'.$randFile.'; width:'.$size[0].'px; height:'.$size[1].'px;"></div>';
}

$dir - полный путь к папке с картинками без завершающего слеша.

Добавил, но изображения не вставляются, с фронта так: <div style="background-image:;    ">
Путь верный т.к. если указать не существующую папку, то выводится в модуле только:
<div class="moduletable">Нет изображений</div>


Записан
*

sivers

  • Живу я здесь
  • 2606
  • 361 / 0
Re: Рэндомное изображение в модуле через background
« Ответ #5 : 15.02.2020, 22:32:02 »
проверяйте на каждом этапе содержимое переменных. через print_r(), начиная с print_r($dir); и далее после каждой строки. Тогда найдете проблемное место.
Записан
На связи в telegram @sivers
sivers @ inbox . ru
https://sivers.su/
*

kik84

  • Завсегдатай
  • 1350
  • 64 / 4
Re: Рэндомное изображение в модуле через background
« Ответ #6 : 15.02.2020, 22:39:54 »
Цитата: sivers от 15.02.2020, 22:32:02
проверяйте на каждом этапе содержимое переменных. через print_r(), начиная с print_r($dir); и далее после каждой строки. Тогда найдете проблемное место.

Только на <?php print_r($files); ?> выводит:
Array
(
)
      
Записан
*

ProtectYourSite

  • Живу я здесь
  • 2368
  • 139 / 4
  • Безопасность вебсайтов
Re: Рэндомное изображение в модуле через background
« Ответ #7 : 16.02.2020, 00:29:45 »
Код
$image->folder . '/' . htmlspecialchars($image->name, ENT_COMPAT, 'UTF-8')
А если это ?
Записан
*

kik84

  • Завсегдатай
  • 1350
  • 64 / 4
Re: Рэндомное изображение в модуле через background
« Ответ #8 : 16.02.2020, 09:26:21 »
Цитата: ProtectYourSite от 16.02.2020, 00:29:45
Код
$image->folder . '/' . htmlspecialchars($image->name, ENT_COMPAT, 'UTF-8')
А если это ?

Есть: /images/random_img/01.jpg или /images/random_img/02.jpg (в папке два изображения)
Записан
*

sivers

  • Живу я здесь
  • 2606
  • 361 / 0
Re: Рэндомное изображение в модуле через background
« Ответ #9 : 16.02.2020, 13:23:50 »
Цитата: kik84 от 16.02.2020, 09:26:21
Есть: /images/random_img/01.jpg или /images/random_img/02.jpg (в папке два изображения)
Тогда задайта в самом начале скрипта:
Код
$dir = JPATH_SITE.'/images';
И еще можно попробовать маску поиска поменять на:
Код
$files = glob($dir.'/*.*');
Это на случай, если у вас расширения файлов большими буквами.
Записан
На связи в telegram @sivers
sivers @ inbox . ru
https://sivers.su/
*

kik84

  • Завсегдатай
  • 1350
  • 64 / 4
Re: Рэндомное изображение в модуле через background
« Ответ #10 : 16.02.2020, 15:00:32 »
Сработало в итоге так:

Код
<?php
defined('_JEXEC') or die;
	$dir = JPATH_BASE.'/images/random_img';
	$files = glob($dir.'/*.jpg');
	//$files = glob($dir.'/*.*');
    $randIndex = array_rand($files);
    $randFile = $files[$randIndex];
    $randFile = str_replace(JPATH_BASE, '', $randFile);
	
?>
<div <?php echo 'style="background-image: url('.$randFile.');"';?>></div>

JPATH_SITE заменил на JPATH_BASE и пока прописал саму папку random_img т.к. из настроек модуля она определялась как $image->folder вроде, но как это добавить - не осилил)
Записан
*

sivers

  • Живу я здесь
  • 2606
  • 361 / 0
Re: Рэндомное изображение в модуле через background
« Ответ #11 : 16.02.2020, 16:53:41 »
Цитата: kik84 от 16.02.2020, 15:00:32
JPATH_SITE заменил на JPATH_BASE и пока прописал саму папку random_img т.к. из настроек модуля она определялась как $image->folder вроде, но как это добавить - не осилил)
JPATH_SITE был бы вернее - он всегда указывает на фронт сайта. А JPATH_BASE в зависимости от того, где находитесь (на фронте или в админке) принимает значение либо JPATH_SITE, либо JPATH_ADMINISTRATOR. Т.е. "величина не постоянная".
Насчет $image->folder - надо знать точно чему оно равно, чтоб понимать как именно вставить в шаблон пути. Но это если оно вам нужно. Т.е. если есть необходимость указывать расположение файлов в настройках модуля.
Записан
На связи в telegram @sivers
sivers @ inbox . ru
https://sivers.su/
*

kik84

  • Завсегдатай
  • 1350
  • 64 / 4
Re: Рэндомное изображение в модуле через background
« Ответ #12 : 16.02.2020, 18:26:35 »
Цитата: sivers от 16.02.2020, 16:53:41
Насчет $image->folder - надо знать точно чему оно равно, чтоб понимать как именно вставить в шаблон пути.

<?php print_r($image->folder); ?>
выдает верную папку из настроек модуля:
/images/random_img
Записан
*

sivers

  • Живу я здесь
  • 2606
  • 361 / 0
Re: Рэндомное изображение в модуле через background
« Ответ #13 : 16.02.2020, 18:54:54 »
Тогда
Код
$dir = JPATH_SITE.$image->folder;
Записан
На связи в telegram @sivers
sivers @ inbox . ru
https://sivers.su/
*

kik84

  • Завсегдатай
  • 1350
  • 64 / 4
Re: Рэндомное изображение в модуле через background
« Ответ #14 : 16.02.2020, 19:21:49 »
Цитата: sivers от 16.02.2020, 18:54:54
Тогда
Код
$dir = JPATH_SITE.$image->folder;

Все ок теперь) СПС
Записан
1   Вверх
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Вывести модуль в модуле

Автор jimka

 Ответов: 2
Просмотров: 2900 		Последний ответ 18.04.2025, 15:39:36
от fbr
Вставка видео со своего сервера через media manager

Автор goga_pgasovav

 Ответов: 2
Просмотров: 2081 		Последний ответ 27.03.2025, 14:51:43
от Akeksandr
[Решено] Вывод значений из custom fields материала в модуле по имени поля

Автор goga_pgasovav

 Ответов: 3
Просмотров: 2910 		Последний ответ 30.12.2024, 13:22:11
от goga_pgasovav
Регистрация и авторизация через соц сети

Автор DamaVbubi

 Ответов: 3
Просмотров: 2234 		Последний ответ 14.04.2024, 16:15:05
от Гоша_Компьютерный
Вывод дополнительного поля материала в модуле

Автор timofe

 Ответов: 10
Просмотров: 3058 		Последний ответ 06.10.2023, 14:02:24
от Mitriy