Содержание

  1. Исправления безопасности
  2. Исправления ошибок и улучшения
  3. Где скачать Joomla 6.1.1 и 5.4.6?

Для Joomla вышли обновления безопасности и исправлений под номерами 6.1.1 и 5.4.6.

Данные выпуски продолжают высокие стандарты Joomla в области доступного веб-дизайна, воплощая ценности инклюзивности, простоты и безопасности в ещё более мощную открытую веб-платформу.

Исправления безопасности

  • XSS в модулях ленты новостей — злоумышленник мог внедрить вредоносный скрипт через RSS-ленты.
  • XSS в com_associations — вредоносный код мог быть внедрён через интерфейс связывания материалов для многоязычных сайтов.
  • XSS в com_contenthistory — уязвимость в истории версий материалов, позволяющая внедрить скрипт.
  • XSS в ссылках «Подробнее» (readmore) — через специально сформированную ссылку «Читать далее» можно было выполнить вредоносный код.
  • CSRF в активации пользователя — атака межсайтовой подделки запроса при активации учётной записи.
  • SQL-инъекция в com_finder — авторизованный пользователь мог выполнить произвольный SQL-запрос через компонент поиска.
  • SQL-инъекция в com_tags — аналогичная уязвимость, но через компонент тегов.
  • Нарушение контроля доступа в com_config — недостаточная проверка прав доступа к веб-сервисам компонента настроек.
  • LFI (локальное включение файлов) — возможность подгружать произвольные файлы с сервера через параметр layout в HTMLView.
  • Path traversal в com_media — через веб-сервис медиа-менеджера можно было получить доступ к файлам вне разрешённых директорий.
  • Обход двухфакторной аутентификации (MFA) — возможность обойти защиту с MFA.
  • Обход двухфакторной аутентификации (MFA) — ещё один вариант обхода MFA.
  • Повышение привилегий через пакетные операции в com_users — обычный пользователь мог получить права администратора.
  • Повышение привилегий через веб-сервисы com_users — аналогичная проблема, но через API-эндпоинты.
  • Некорректный контроль доступа в плагинах с примерными данными (sample data).
  • Некорректный контроль доступа в com_scheduler — в компоненте планировщика задач.
  • Некорректная генерация ключа кэша для объектов InputFilter — потенциально могло привести к утечке данных.
  • Понижение уровня шифрования при передаче ссылок для сброса пароля и имени пользователя.
  • Недостаточная фильтрация контента в коде checkAttribute.
  • Недостаточная фильтрация контента в коде cleanAttributes.

Исправления ошибок и улучшения

В Joomla! 6.1.1 и Joomla! 5.4.6 включены следующие исправления ошибок (все исправления для 5.4 также перенесены в 6.1):

  • Исправлена ошибка, из-за которой при переименовании файла выводилось неверное сообщение об ошибке.
  • Улучшена доступность для ссылки «Наверх» — теперь она корректно работает со скринридерами.
  • Исправлено: при неудачной отправке email-уведомления система больше не показывает сообщение об ошибке сохранения.
  • Улучшен поиск по подстроке в выпадающих списках с расширенным выбором (Fancy Select).
  • Добавлен недостающий параметр страницы в аргументы событий контента для модуля материалов.
  • Исправлен неверный ключ привязки параметра в HTML-хелпере категорий.
  • Исправлена опечатка в проверке режима ECB в OpenSSL-адаптере и обновлена соответствующая документация.
  • В выпадающем списке Fancy Select теперь показывается предварительно выбранное значение.
  • Исправлено: исключения при преобразовании Punycode (домены с символами не ASCII) теперь перехватываются, чтобы предотвратить аварийное завершение работы.
  • Исправлена работа с вложениями — теперь они корректно обрабатываются как список объектов.
  • В тёмной теме (dark mode) исправлен цвет фона для выделенного элемента (класс .is-selected).
  • Исправлена загрузка пользовательских полей для категорий.
  • Исправлено удаление архива обновления после автоматического обновления.
  • Сделана возможность переопределения сворачиваемого меню по умолчанию.
  • Исправлена ошибка, из-за которой плагин Debug (отладка) мог аварийно завершаться при запросе Query Explain на AJAX-запросах.
  • Добавлены скрипты с сообщениями об ошибках AJAX для улучшения обратной связи при редактировании пунктов меню.
  • Исправлена замена тегов при преобразовании HTML в обычный текст для тела письма.
  • Добавлен перевод формата, чтобы время последней проверки обновлений отображалось корректно.
  • Исправлена пропущенная закрывающая угловая скобка для fieldset в повторяющемся (repeatable) макете.
  • Исправлено: поля публикации теперь отображаются при создании новой статьи.
  • Исправлено значение aria-posinset — теперь оно начинается с 1 для корректной работы скринридеров (доступность).
  • Предотвращена фатальная ошибка при вызове метода getTemplate в API-приложении.
  • Исправлена информация об установке языков.
  • Исправлено значение по умолчанию для параметра save_history (сохранять историю версий) в com_modules.
  • Исправлена видимость панели меню редактора TinyMCE в полноэкранном режиме.
  • Исправлена ошибка, из-за которой кнопка очистки (Clear) не сбрасывала фильтры в календаре.
  • История версий теперь показывается в FormView только в том случае, если она поддерживается для данного компонента.
  • Cassiopeia (стандартный шаблон) — исправлен z-index для выпадающих полей выбора.
  • Светлая тема (light mode) — исправлена кнопка закрытия (dismiss).
  • Исправлен предпросмотр версий статей для авторов (ограничение прав).
  • Добавлена цветовая переменная для отключённого поля (choicesjs).

Где скачать Joomla 6.1.1 и 5.4.6?

Скачать последнюю версию Joomla можно здесь.

Упоминаемые термины:

HTML, Плагин, AJAX, Медиа-менеджер, Cassiopeia, Переопределение