Новости Joomla

👩‍💻 ⚠️ Если вы используете JBZoo - проверьте его на уязвимости.

‼️ 👩‍💻 Обновление безопасности для Tassos Framework!

‼️ 👩‍💻 Обновление безопасности для Tassos Framework!

7 января 2026 года греческому разработчику Тассосу Мариносу сообщили об уязвимости в системном плагине Tassos Framework, который входит в состав его расширений для Joomla.

⚠️ Проблема затрагивает следующие расширения:
- Convert Forms - конструктор форм обратной связи для Joomla
- EngageBox - конструктор всплывающих окон для Joomla
- Google Structured Data - пакет плагинов микроразметки для Joomla
- Advanced Custom Fields - пакет плагинов пользовательских полей (видео-сервисы, карты и иже с ними)
- Smile Pack - пакет расширений
- MailChimp Auto-Subscribe

Незамедлительно была проведена полная внутренняя проверка кода, внедрены дополнительные меры проверки и повышения безопасности, а также выпущены исправленные версии всех затронутых расширений. Проблема полностью решена.

👉 Суть уязвимости.
Уязвимость заключалась в том, как плагин Tassos Framework обрабатывал определенные AJAX-запросы через com_ajaxточку входа Joomla. При определенных условиях внутренняя функциональность фреймворка могла быть вызвана без надлежащих ограничений.

В худшем случае это могло позволить неавторизованному злоумышленнику читать файлы, доступные веб-серверу. Это также могло позволить удалять файлы с сервера при выполнении определенных условий.

При определенных обстоятельствах запросы к базе данных могли быть изменены для извлечения данных из базы данных Joomla. В совокупности эти возможности потенциально могли быть использованы для повышения уровня доступа и выполнения несанкционированного кода.

В настоящее время нет никаких доказательств того, что эта уязвимость была использована в реальных условиях.

Немедленно обновите расширения до безопасных версий (Joomla 4/5/6 | Joomla 3):
- Convert Forms - v5.1.1 / v.4.1.1
- EngageBox - v.7.1.1 / v,6,3,9
- Google Structured Data - v.6.1.1 / v.5.6.9
- Advanced Custom Fields - v.3.1.1 / v.2.8.10
- Smile Pack - v.2.1.1 / v.1.2.4.
- MailChimp Auto-Subscribe - v.5.1.1+ / v.5.0.4

Все указанные версии включают в себя релиз безопасности плагина Tassos Framework System Plugin v6.0.62.

Если у вас установлено несколько расширений Tassos, достаточно обновить только одно, чтобы применить патч. Однако всегда рекомендуется обновлять все расширения.

@joomlafeed

👩‍💻 Joomla включена в программу Google Summer of Code 2026.

👩‍💻 Joomla включена в программу Google Summer of Code 2026.

Google Summer of Code (GSoC) - программа компании Google, которая позволяет участникам программы под руководством опытных наставников писать код для организаций, занимающейся открытым исходным кодом. Joomla принимает участие в этой программе не в первый раз и в 2026 году снова включена в список GSoC. Для программы утверждается список "идей", воплотить которые должны участники под руководством наставников.

Проекты Joomla в рамках программы GSoC 2026.

Проект I: Ajax-бэкенд.
- Действия в административной панели без необходимости обновлять страницу.
- Автоматическое сохранение содержимого во время редактирования.
- Расширенный фильтр - поиск и фильтрация по пользовательским полям.

Проект II: Автоматизация рабочих процессов (workflow + task scheduler).
Joomla имеет функцию процессов и планировщика задач. Теперь эти две функции следует объединить, чтобы пользователь мог настраивать назначенные рабочие процессы таким образом, чтобы переходы выполнялись автоматически, с возможностью точного определения времени. Должна быть возможность создавать циклы или прямые запланированные рабочие процессы. Предполагается, что интерфейс должен учитывать хороший пользовательский опыт, удобство использования и современные стандарты доступности. Ожидается, что будет добавлен интерфейс для управления процессами и их расписанием на страницах категорий и материалов. Так же ожидается, что сторонние компоненты также смогут воспользоваться этим функционалом.

Проект III: Мультикатегории.
В настоящее время Joomla! не позволяет назначать один элемент нескольким категориям. Хотя система тегов часто используется в качестве замены, существует острая потребность в нативной поддержке нескольких категорий, чтобы привести Joomla! в соответствие с другими современными системами управления контентом.

Проект IV: Обучение с подкреплением на основе отзывов переводчиков.
Joomla собирается использовать автоматический перевод документации. В каждом языке есть свои специфические слова, характерные для Joomla. Предполагается обучать языковые модели, используя обратную связь от переводчиков, чтобы постоянно улучшать качество переводов и учитывать специфические языковые особенности Joomla.

Принять участие GSoC 2026
Подробнее о проектах Joomla GSoC 2026
Чат GSoC в Mattermost (международное сообщество Joomla)

1   Вниз
0 Пользователей и 1 Гость просматривают эту тему.
  • 12 Ответов
  • 921 Просмотров
*

Sergey84

  • Захожу иногда
  • 60
  • 0 / 0
Ошибки при валидации сайта
« : 19.02.2020, 10:16:51 »
Добрый день,

проверил сайт на ошибки на validator.w3.org.

1. Bad value for attribute type on element link: Expected a MIME type but saw the empty string.
Далее идет код с ссылкой на фавиконку. Но в атрибуте type пусто. Хотя сама фавиконка лежит в корне сайта, и путь к ней указан в index.php верно. Где мне копать эту ссылку с пустым type?

2. CSS: Parse Error.
 !important}#kt .kt-form-b (желтым цветом выделена фигурная скобка перед решеткой). Что тут нужно исправить?

3. И еще проблема с названиями папок, где хранятся картинки. Находится все это дело в images. Все названия без пробелов. Например, название папки А Б (в ней картинки - 1.jpg, 2.jpg и т.д.).  Если я руками меняю название папки на А_Б, то теряются пути к картинкам. На сайте они не отображаются. Приходится проваливаться в каждую статью, удалять картинки и заново их вставлять. Мне посоветовали установить DB Replacer. Только я там понять ничего не могу: какую таблицу выбирать, какие колонки выбирать и что на что менять.

Буду благодарен за помощь.   
Записан
*

sivers

  • Живу я здесь
  • 2606
  • 361 / 0
Re: Ошибки при валидации сайта
« Ответ #1 : 19.02.2020, 22:54:45 »
Цитата: Sergey84 от 19.02.2020, 10:16:51
2. CSS: Parse Error.
 !important}#kt .kt-form-b (желтым цветом выделена фигурная скобка перед решеткой). Что тут нужно исправить?
попробуйте добавить пробел перед решеткой или точку с запятой перед закр. фигурной скобкой
Записан
На связи в telegram @sivers
sivers @ inbox . ru
https://sivers.su/
*

SeBun

  • BanMaster
  • 4030
  • 259 / 5
  • @SeBun48
Re: Ошибки при валидации сайта
« Ответ #2 : 19.02.2020, 23:05:30 »
Касательно п.3 - я бы написал скрипт, который пробежится по материалам, найдет все пути с пробелом, составит массив, а затем поменяет названия и там и там. В вашем случае вижу такое решение: сделайте дамп таблицы #__content, в ней лежат ваши материалы. Затем поиском ищите. Есть у вас папка А В, меняете на A_B, а затем в дампе ищите через поиск и меняете.

Записан
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

Sergey84

  • Захожу иногда
  • 60
  • 0 / 0
Re: Ошибки при валидации сайта
« Ответ #3 : 20.02.2020, 08:23:14 »
Цитировать
попробуйте добавить пробел перед решеткой или точку с запятой перед закр. фигурной скобкой

К сожалению, не помогло.

Цитировать
сделайте дамп таблицы #__content, в ней лежат ваши материалы. Затем поиском ищите. Есть у вас папка А В, меняете на A_B, а затем в дампе ищите через поиск и меняете.

Попробую так.
Записан
*

SeBun

  • BanMaster
  • 4030
  • 259 / 5
  • @SeBun48
Re: Ошибки при валидации сайта
« Ответ #4 : 20.02.2020, 10:23:14 »
Цитата: Sergey84 от 19.02.2020, 10:16:51
!important}#kt .kt-form-b
Покажите весь кусок этого кода, что там до и после. По идее должно быть так:
Код
  ... !important;
}
#kt .kt-form-b {
...
}
Записан
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

Sergey84

  • Захожу иногда
  • 60
  • 0 / 0
Re: Ошибки при валидации сайта
« Ответ #5 : 20.02.2020, 10:33:32 »
Код именно так и выглядит. Со смартфона не могу скопировать код из хостинга. Но уверяю, что точка с запятой есть, а валидатор ее не видит)))) Как такое возможно?
validator.w3.org - здесь проверял главную страницу сайта - movielab.pro
Записан
*

SeBun

  • BanMaster
  • 4030
  • 259 / 5
  • @SeBun48
Re: Ошибки при валидации сайта
« Ответ #6 : 20.02.2020, 12:42:54 »
Цитата: Sergey84 от 20.02.2020, 10:33:32
Как такое возможно?
А в исходном коде так же? Возможно, что сервер отдает кеш, либо скомпилированный LESS, а не CSS. Поэтому и не отражаются изменения.
Записан
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

Sergey84

  • Захожу иногда
  • 60
  • 0 / 0
Re: Ошибки при валидации сайта
« Ответ #7 : 20.02.2020, 13:22:04 »
Цитировать
А в исходном коде так же? Возможно, что сервер отдает кеш, либо скомпилированный LESS, а не CSS. Поэтому и не отражаются изменения.

В исходном коде стоит точка с запятой. А в валидаторе ее нет.
Это модуль "Комментарии" от компонента Komento. Он у меня выведен на сайте на главной странице. Настроек в нем немного, а кэш отключен в дополнительных параметрах.
Записан
*

Sgrey

  • Захожу иногда
  • 75
  • 4 / 1
Re: Ошибки при валидации сайта
« Ответ #8 : 20.02.2020, 20:20:06 »
1) У вас атрибут type пустой, о чем вам валидатор и сообщает.
2) Нет точки с запятой в исходном коде, поэтому и валидатор ее не видит.
3) Это можно сделать просто в phpMyAdmin поиском и заменой, предварительно сделав бэкап.
Записан
*

Sergey84

  • Захожу иногда
  • 60
  • 0 / 0
Re: Ошибки при валидации сайта
« Ответ #9 : 20.02.2020, 22:11:04 »
Цитировать
1) У вас атрибут type пустой, о чем вам валидатор и сообщает.
Я все файлы перерыл, не нашел нигде пустой атрибут type. Где копать, уже не знаю.

Цитировать
2) Нет точки с запятой в исходном коде, поэтому и валидатор ее не видит.
Выше писал, что точка с запятой в исходном коде есть, а валидатор ее не видит. Вот часть исходника:
Код
filter: progid:DXImageTransform.Microsoft.gradient( startColorstr='#3e28b4', endColorstr='#cd66da', GradientType=1 )!important;
	    
	}   
	#kt .kt-form-bg--<?php echo $preset->id; ?>::-webkit-input-placeholder {
		color: <?php echo $preset->getParams()->get('fontcolor'); ?> !important;
		opacity: .7 !important;
	}
	#kt .kt-form-bg--<?php echo $preset->id; ?>::-moz-placeholder {
		color: <?php echo $preset->getParams()->get('fontcolor'); ?> !important;
		opacity: .7 !important;
	}
	#kt .kt-form-bg--<?php echo $preset->id; ?>:-ms-input-placeholder {
		color: <?php echo $preset->getParams()->get('fontcolor'); ?> !important;
		opacity: .7 !important;
	}
	#kt .kt-form-bg--<?php echo $preset->id; ?>:-moz-placeholder {
		color: <?php echo $preset->getParams()->get('fontcolor'); ?> !important;
		opacity: .7 !important;
	}
	#kt .kt-form-editor.kt-form-bg--<?php echo $preset->id;?> .kt-form-editor__smiley-toggle > i {
		color: <?php echo $preset->getParams()->get('fontcolor'); ?> !important;
	}
<?php } ?>

Цитировать
3) Это можно сделать просто в phpMyAdmin поиском и заменой, предварительно сделав бэкап.
Очень странная штука происходит: валидатор показал несколько ошибок на конкретные папки без пробелов. Я ручками все изменил, фотки заново подгрузил, ошибка из валидатора пропала. Но как же остальные пара десятков папок с картинками без пробелов? Почему валидатор не ругается на них?
Записан
*

Sgrey

  • Захожу иногда
  • 75
  • 4 / 1
Re: Ошибки при валидации сайта
« Ответ #10 : 21.02.2020, 12:42:04 »
Цитата: Sergey84 от 20.02.2020, 22:11:04
Я все файлы перерыл, не нашел нигде пустой атрибут type. Где копать, уже не знаю.

Тяжелый случай :( В ссылке на фавикон у вас type="" а должен быть type="image/vnd.microsoft.icon"


Цитата: Sergey84 от 20.02.2020, 22:11:04
Выше писал, что точка с запятой в исходном коде есть, а валидатор ее не видит. Вот часть исходника:

Еще раз, что у вас в исходных файлах я не знаю, но в коде сайта точки с запятой НЕТ. Хотя она здесь не причем, ругается он вероятно на filter:progid:DXImageTransform.Microsoft.gradient


Цитата: Sergey84 от 20.02.2020, 22:11:04
Очень странная штука происходит: валидатор показал несколько ошибок на конкретные папки без пробелов. Я ручками все изменил, фотки заново подгрузил, ошибка из валидатора пропала. Но как же остальные пара десятков папок с картинками без пробелов? Почему валидатор не ругается на них?

Покажите ссылки на конкретные примеры папок, где ругается и где нет.
Записан
*

Sergey84

  • Захожу иногда
  • 60
  • 0 / 0
Re: Ошибки при валидации сайта
« Ответ #11 : 21.02.2020, 12:49:18 »
Цитировать
Еще раз, что у вас в исходных файлах я не знаю, но в коде сайта точки с запятой НЕТ. Хотя она здесь не причем, ругается он вероятно на filter:progid:DXImageTransform.Microsoft.gradient
А что с фильтром не так? Валидатор выделяет желтым цветом именно фигурную скобку, больше ничего.

Цитировать
Покажите ссылки на конкретные примеры папок, где ругается и где нет.
А как я покажу ссылку? Изначально было несколько однотипных ошибок в валидаторе, которые явно указывали на наличие пробела в названиях папок с картинками (они находятся в корне сайта в папке imges). Я руками изменил названия папок без пробелов, заново в каждой статье подгрузил фотки (иначе все слетало, и фотки на сайте пропадали). Ошибки исчезли. Но это было несколько папок с пробелами. Сейчас на сайте больше десятка статей - и папки для них в корне сайта с пробелами. А валидатор молчит. 
Записан
*

Sgrey

  • Захожу иногда
  • 75
  • 4 / 1
Re: Ошибки при валидации сайта
« Ответ #12 : 21.02.2020, 15:27:15 »
Если не ошибаюсь, он отсутствует в стандарте. То что валидатор выделяет именно скобку ничего не значит, не всегда автоматические проверки правильно указывают на реальное местоположение ошибки.

Очень просто, пример страницы где ошибка есть и пример страницы где ее нет, хотя пробелы есть в обоих случаях. Если сейчас ошибок нет, то и говорить не о чем.
Записан
1   Вверх
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Не работает мобильная версия сайта

Автор jeans

 Ответов: 4
Просмотров: 2728 		Последний ответ 21.05.2025, 12:44:06
от jeans
Разные меню для мобильной и для ПК версии сайта

Автор jimka

 Ответов: 7
Просмотров: 2697 		Последний ответ 24.03.2025, 20:03:01
от R31rus
Множество несуществующих ссылок при обходе сайта роботом Яндекс

Автор goga_pgasovav

 Ответов: 7
Просмотров: 2266 		Последний ответ 10.12.2024, 18:44:25
от goga_pgasovav
Антивирус нашел вредоносный код в двух файлах сайта polyfill

Автор buto

 Ответов: 4
Просмотров: 1669 		Последний ответ 19.10.2024, 10:56:55
от wishlight
Шаблон для данной страницы недоступен. сообщите об этом Администратору сайта

Автор 62411

 Ответов: 2
Просмотров: 2066 		Последний ответ 30.03.2024, 13:15:16
от web1