Новости Joomla

‼️ 👩‍💻 Обновление безопасности для Tassos Framework!

‼️ 👩‍💻 Обновление безопасности для Tassos Framework!

7 января 2026 года греческому разработчику Тассосу Мариносу сообщили об уязвимости в системном плагине Tassos Framework, который входит в состав его расширений для Joomla.

⚠️ Проблема затрагивает следующие расширения:
- Convert Forms - конструктор форм обратной связи для Joomla
- EngageBox - конструктор всплывающих окон для Joomla
- Google Structured Data - пакет плагинов микроразметки для Joomla
- Advanced Custom Fields - пакет плагинов пользовательских полей (видео-сервисы, карты и иже с ними)
- Smile Pack - пакет расширений
- MailChimp Auto-Subscribe

Незамедлительно была проведена полная внутренняя проверка кода, внедрены дополнительные меры проверки и повышения безопасности, а также выпущены исправленные версии всех затронутых расширений. Проблема полностью решена.

👉 Суть уязвимости.
Уязвимость заключалась в том, как плагин Tassos Framework обрабатывал определенные AJAX-запросы через com_ajaxточку входа Joomla. При определенных условиях внутренняя функциональность фреймворка могла быть вызвана без надлежащих ограничений.

В худшем случае это могло позволить неавторизованному злоумышленнику читать файлы, доступные веб-серверу. Это также могло позволить удалять файлы с сервера при выполнении определенных условий.

При определенных обстоятельствах запросы к базе данных могли быть изменены для извлечения данных из базы данных Joomla. В совокупности эти возможности потенциально могли быть использованы для повышения уровня доступа и выполнения несанкционированного кода.

В настоящее время нет никаких доказательств того, что эта уязвимость была использована в реальных условиях.

Немедленно обновите расширения до безопасных версий (Joomla 4/5/6 | Joomla 3):
- Convert Forms - v5.1.1 / v.4.1.1
- EngageBox - v.7.1.1 / v,6,3,9
- Google Structured Data - v.6.1.1 / v.5.6.9
- Advanced Custom Fields - v.3.1.1 / v.2.8.10
- Smile Pack - v.2.1.1 / v.1.2.4.
- MailChimp Auto-Subscribe - v.5.1.1+ / v.5.0.4

Все указанные версии включают в себя релиз безопасности плагина Tassos Framework System Plugin v6.0.62.

Если у вас установлено несколько расширений Tassos, достаточно обновить только одно, чтобы применить патч. Однако всегда рекомендуется обновлять все расширения.

@joomlafeed

👩‍💻 Joomla включена в программу Google Summer of Code 2026.

👩‍💻 Joomla включена в программу Google Summer of Code 2026.

Google Summer of Code (GSoC) - программа компании Google, которая позволяет участникам программы под руководством опытных наставников писать код для организаций, занимающейся открытым исходным кодом. Joomla принимает участие в этой программе не в первый раз и в 2026 году снова включена в список GSoC. Для программы утверждается список "идей", воплотить которые должны участники под руководством наставников.

Проекты Joomla в рамках программы GSoC 2026.

Проект I: Ajax-бэкенд.
- Действия в административной панели без необходимости обновлять страницу.
- Автоматическое сохранение содержимого во время редактирования.
- Расширенный фильтр - поиск и фильтрация по пользовательским полям.

Проект II: Автоматизация рабочих процессов (workflow + task scheduler).
Joomla имеет функцию процессов и планировщика задач. Теперь эти две функции следует объединить, чтобы пользователь мог настраивать назначенные рабочие процессы таким образом, чтобы переходы выполнялись автоматически, с возможностью точного определения времени. Должна быть возможность создавать циклы или прямые запланированные рабочие процессы. Предполагается, что интерфейс должен учитывать хороший пользовательский опыт, удобство использования и современные стандарты доступности. Ожидается, что будет добавлен интерфейс для управления процессами и их расписанием на страницах категорий и материалов. Так же ожидается, что сторонние компоненты также смогут воспользоваться этим функционалом.

Проект III: Мультикатегории.
В настоящее время Joomla! не позволяет назначать один элемент нескольким категориям. Хотя система тегов часто используется в качестве замены, существует острая потребность в нативной поддержке нескольких категорий, чтобы привести Joomla! в соответствие с другими современными системами управления контентом.

Проект IV: Обучение с подкреплением на основе отзывов переводчиков.
Joomla собирается использовать автоматический перевод документации. В каждом языке есть свои специфические слова, характерные для Joomla. Предполагается обучать языковые модели, используя обратную связь от переводчиков, чтобы постоянно улучшать качество переводов и учитывать специфические языковые особенности Joomla.

Принять участие GSoC 2026
Подробнее о проектах Joomla GSoC 2026
Чат GSoC в Mattermost (международное сообщество Joomla)

Вышли релизы Joomla 6.0.3 и Joomla 5.4.3

Релиз Joomla 6.0.3 и Joomla 5.4.3

Проект Joomla рад сообщить о выпуске Joomla 6.0.3 и Joomla 5.4.3. Это релиз исправлений ошибок и улучшений для серии Joomla 6.0 и Joomla 5.4.

1   Вниз
0 Пользователей и 1 Гость просматривают эту тему.
  • 13 Ответов
  • 1116 Просмотров
*

Damarkuzz

  • Захожу иногда
  • 116
  • 1 / 0
Как защитить сайт от недобросоветсного заказчика?
« : 07.09.2020, 00:49:55 »
Доброго времени. Как можно защитить сайт от недобросовестного заказчика?
Сделать так, чтобы в случае, если человек, который заказал работы на сайте не оплатил затраченное время - ему бы это не пошло в пользу. Слышал про backdoor'ы, но не хватает опыта в написании подобного, чтобы это не навредило заказчику, если он оправдает все надежды. Благодраю за информацию, с меня плюсы в карму!
Записан
*

Damarkuzz

  • Захожу иногда
  • 116
  • 1 / 0
Re: Как защитить сайт от недобросоветсного заказчика?
« Ответ #1 : 07.09.2020, 01:26:18 »
Если кому-либо из новичков поможет (способ не является готовым и безопасным от блуждающих ботов, требует доработки. Не использовать на основных проектах, не изучив в песочнице. Делать бекапы перед использованием и включать голову. Отказываюсь от ответственности за Ваши действия, предоставлено с целью просвещения новичков в данной теме, как и я, бла-бла-бла ):

1. Создаем PHP-файл и размещаем его в несколько мест по всему сайту, чем глубже - тем лучше. Для банальной демонстрации я попробовал в корне сайта. Назвал license.php

2. Внутри PHP-файла пишем код:

  [Удалено модератором]

3) Теперь при обращении к site.ru/license.php перед нами будет отображаться стандартная форма с функцией отправки POST-запроса

4) Теперь в данную форму мы можем поместить любую PHP-команду, без тегов <?php ?>
Список можно просмотреть на сайте, который первый попался в поиске https://vitalik.ws/zametki/133-kak-udalit-fayl-cherez-php.html

Например, одна из команд: array_map('unlink', glob(dirname(__FILE__).'/test/*')); удалит все файлы по директории site.ru/test. Далее экспериментируем как хотим, также при желании можно найти способы команд, создающих файлы, и.т.п.

5) Наслаждаемся справедливостью

Внимание! Доступ к данному бэкдору будет иметь каждый, кто введет его в адресной строке. Часто блуждающие по Сети боты могут также получить доступ. Тут уже стоит обратиться за помощью к более продвинутым разработчикам, и уточнить, как можно обезопасить файл от нежелаемого посетителя
« Последнее редактирование: 07.09.2020, 21:13:39 от Taatshi »
Записан
*

Damarkuzz

  • Захожу иногда
  • 116
  • 1 / 0
Re: Как защитить сайт от недобросоветсного заказчика?
« Ответ #2 : 07.09.2020, 01:26:43 »
Вопрос к профессионалам, как "запаролить" подобный файл?
Записан
*

Damarkuzz

  • Захожу иногда
  • 116
  • 1 / 0
Re: Как защитить сайт от недобросоветсного заказчика?
« Ответ #3 : 07.09.2020, 01:32:27 »
В чате telegram-канала ответили следующее:

Цитировать
такой способ использовать нельзя
1 - eval - не безопасная ффункций
2 - это плохо
3 - вы сами "обделаетесь", перепутав последовательость команд в коде
Записан
*

Damarkuzz

  • Захожу иногда
  • 116
  • 1 / 0
Re: Как защитить сайт от недобросоветсного заказчика?
« Ответ #4 : 07.09.2020, 01:37:06 »
Также подоспели советы из чата:

Цитировать
я же вам объяснил. Создаёте безобидный плагин или модуль, в нм реализуете работу через com_ajax, а в нём пишете себе авторизацию от рута

вообще все-равно, что будет длеать модуль! Максимально безобидный! Например, выводит копирайт. Его удалять не захотят, а вот отключить - отключат. Но  у модуля сделать хэлпер, в нём реализовать метод onAjax, внутри которого, по секретному коду делаете доступ, а уже после проверки секретки - даёте себе права суперадмина. Программно моздаёте юзера - рута и валите в админку
Записан
*

cntrl

  • Захожу иногда
  • 181
  • 6 / 0
Re: Как защитить сайт от недобросоветсного заказчика?
« Ответ #5 : 07.09.2020, 02:55:54 »
Просто загружаете поглубже в диры https://sourceforge.net/projects/phpfm/ переименовываете, даёте ему права на доступ через браузер, ставите пароль, и если что через него всё удаляете :) хотя я на вашем месте, не связывался с такими заказчиками.
Записан
*

rsn

  • Давно я тут
  • 520
  • 34 / 3
Re: Как защитить сайт от недобросоветсного заказчика?
« Ответ #6 : 07.09.2020, 08:47:38 »
Цитата: Damarkuzz от 07.09.2020, 00:49:55
Сделать так, чтобы в случае, если человек, который заказал работы на сайте не оплатил затраченное время - ему бы это не пошло в пользу
Хороший вариант - делать разработки/доработки на своём сервере/хостинге. Не на сервере заказчика, а на своём.
После оплаты - настроить уже на сервере заказчика.
Это не полностью универсально. Смотря, какие работы. Зависит от ситуации.
Например, если предмет работ - дизайн или вёрстка, то это не защитит от копирования.

Но размещать открытый php с eval точно не стоит )
Записан
Возможно, будет интересно: Интеграция с Ozon
*

Шмайсер

  • Давно я тут
  • 801
  • 35 / 3
Re: Как защитить сайт от недобросоветсного заказчика?
« Ответ #7 : 07.09.2020, 12:39:07 »
Цитата: Damarkuzz от 07.09.2020, 01:26:18
Если кому-либо из новичков поможет (способ не является готовым и безопасным от блуждающих ботов, требует доработки.
можно добавить какой нибудь token, и вводить его в строке, если проверка не прошла - выводить уведомляшку что "Данный файл существует для разработки. Не выполняйте никаких действий, если не являетесь разработчиком этого сайта". Таким образом, ни один юрист не докажет что на сайт был внесен умышленно вредоносный код (а доказать можно, кстати, и это уголовно наказуемо).
Записан
Разработка сайтов любой сложности, на Joomla 3.9-4.x и не только на ней. Пишу компоненты, модули и плагины на заказ. Переношу сайты с ветки 2.5.х на 4-ю версию Joomla. Пишу любые скрипты и интерфейсы.
*

Шмайсер

  • Давно я тут
  • 801
  • 35 / 3
Re: Как защитить сайт от недобросоветсного заказчика?
« Ответ #8 : 07.09.2020, 12:44:27 »
Цитата: Damarkuzz от 07.09.2020, 01:26:43
Вопрос к профессионалам, как "запаролить" подобный файл?
в самом верху файла
Код
<?
if($_GET[] && $_GET['mytoken'] == 'aaFFF890nnnn') {
 /*тут вывод всего этого добра*/
} else {
  echo '<h1>Данный файл существует для разработки. Не выполняйте никаких действий, если не являетесь разработчиком этого сайта</h1>';
}
?>

и в адресной строке вводите путь к файлу /?mytoken=aaFFF890nnnn
Записан
Разработка сайтов любой сложности, на Joomla 3.9-4.x и не только на ней. Пишу компоненты, модули и плагины на заказ. Переношу сайты с ветки 2.5.х на 4-ю версию Joomla. Пишу любые скрипты и интерфейсы.
*

Taatshi

  • Гуру
  • 5258
  • 481 / 2
  • Верстаем и кодим. Обращайтесь ;)
Re: Как защитить сайт от недобросоветсного заказчика?
« Ответ #9 : 07.09.2020, 21:16:40 »
Damarkuzz, обращаю Ваше внимание, что обсуждение подобных кодов у нас на форуме не приветствуется. И хочу так же Вас проинформировать, что предлагаемый Вами способ - уголовно наказуемое деяние.

Так что заключайте договора, ведите разработку на своем сервере и отдавайте сайты только после оплаты.

А все эти детские вставки, во-первых, определяются на щелчок пальцами, а, во-вторых, никакого результата иметь не могут, потому что бэкап наше всё. И не наше тоже.

Простите, что разочаровала.
Записан
ВЕРСТКА, САЙТЫ ПОД КЛЮЧ, УДАЛЕНИЕ ВИРУСОВ, МИГРАЦИЯ НА JOOMLA 3, ОБНОВЛЕНИЕ  |  ОТЗЫВЫ 
Связь: telegram - Taatshi, почта - Taatshi на яндексе, Skype - Taatshi
*

nevigen

  • Легенда
  • 10451
  • 863 / 25
  • http://n*****n.com
Re: Как защитить сайт от недобросоветсного заказчика?
« Ответ #10 : 07.09.2020, 21:17:50 »
мне кажется что у ТС завышена самооценка.
иногда потерять дешевле, чем плодить глупости и сеять в головах других зерно ненужного деструктива !
работайте ! и вас не будут кидать ! профессионалов и порядочных людей редко кидают.
если конечно они способны выбирать работу !
Записан
Профессиональные / Бесплатные решения для JoomShopping
Не лечи бесплатно, ибо тот, кто лечится бесплатно, рано или поздно перестает ценить свое здоровье,
а тот, кто лечит бесплатно, рано или поздно перестает ценить результаты своего труда/ (с) Гиппократ?
Не ищите ответов, ищите решение !
*

Taatshi

  • Гуру
  • 5258
  • 481 / 2
  • Верстаем и кодим. Обращайтесь ;)
Re: Как защитить сайт от недобросоветсного заказчика?
« Ответ #11 : 07.09.2020, 21:19:01 »
Цитата: nevigen от 07.09.2020, 21:17:50
мне кажется что у ТС завышена самооценка.
иногда потерять дешевле, чем плодить глупости и сеять в головах других зерно ненужного деструктива !
работайте ! и вас не будут кидать ! профессионалов и порядочных людей редко кидают.
если конечно они способны выбирать работу !
вот, кстати, да) Согласна на все сто.
Записан
ВЕРСТКА, САЙТЫ ПОД КЛЮЧ, УДАЛЕНИЕ ВИРУСОВ, МИГРАЦИЯ НА JOOMLA 3, ОБНОВЛЕНИЕ  |  ОТЗЫВЫ 
Связь: telegram - Taatshi, почта - Taatshi на яндексе, Skype - Taatshi
*

nevigen

  • Легенда
  • 10451
  • 863 / 25
  • http://n*****n.com
Re: Как защитить сайт от недобросоветсного заказчика?
« Ответ #12 : 07.09.2020, 21:30:57 »
@Damarkuzz
может тогда и расскажете как заказчикам защитится от таких вот "наученных" вами новичков ?
та и вообще от новичков которые зашли не работать, а зарабатывать.

а?
давайте уже будьте последовательны !
Записан
Профессиональные / Бесплатные решения для JoomShopping
Не лечи бесплатно, ибо тот, кто лечится бесплатно, рано или поздно перестает ценить свое здоровье,
а тот, кто лечит бесплатно, рано или поздно перестает ценить результаты своего труда/ (с) Гиппократ?
Не ищите ответов, ищите решение !
*

robert

  • Живу я здесь
  • 4974
  • 457 / 20
Re: Как защитить сайт от недобросоветсного заказчика?
« Ответ #13 : 07.09.2020, 21:40:52 »
Спойлер
[свернуть]
+
Спойлер
[свернуть]
-
Тупица вы, @Damarkuzz.
Записан
Не будь паразитом, сделай что-нибудь самостоятельно!
1   Вверх
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Сайт перестал нормально грузиться

Автор Leo1986

 Ответов: 17
Просмотров: 2744 		Последний ответ 11.06.2025, 13:55:08
от zilonitiz
Как конвертировать сайт Joomla в мобильное приложение?

Автор 62411

 Ответов: 1
Просмотров: 1437 		Последний ответ 14.06.2024, 15:31:24
от Olg
После выключения расширения лег сайт

Автор blind

 Ответов: 4
Просмотров: 2087 		Последний ответ 19.05.2024, 14:13:33
от blind
Google Переводчик не переводит сайт

Автор Aqua

 Ответов: 1
Просмотров: 1634 		Последний ответ 04.03.2024, 12:50:00
от kovAlexandr78
Администрирую и редактирую сайт на CMS Joomla. Вопросы про настройки CMS

Автор admi5575

 Ответов: 4
Просмотров: 1265 		Последний ответ 10.05.2023, 09:02:29
от admi5575