Joomla! выпустила масштабное обновление безопасности, закрывающее 12 уязвимостей

Joomla

Разработчики Joomla! 7 июля 2026 года опубликовали серию бюллетеней безопасности, в которых сообщили о закрытии двенадцати уязвимостей. Проблемы затрагивают версии CMS с 3.0.0 по 5.4.6 и с 4.0.0 (в зависимости от компонента) до 6.1.1 включительно. Для их устранения выпущены сборки 5.4.7 и 6.1.2. Пользователям настоятельно рекомендуется обновиться до указанных версий.

Детали уязвимостей

Найденные уязвимости можно разделить на две крупные группы: некорректный контроль доступа (Incorrect Access Control) и межсайтовый скриптинг (XSS). В первую вошли проблемы, связанные с недостаточной проверкой прав при работе с различными веб-сервисами и компонентами админки. Вторую составили ошибки, вызванные отсутствием экранирования пользовательских данных, что позволяло злоумышленнику внедрить вредоносный код.

Уязвимости некорректного контроля доступа затрагивают несколько ключевых модулей Joomla!. Так, CVE-2026-48947 позволяла привилегированному пользователю перезаписывать медиафайлы в компоненте com_media, не имея на это прямых редактирующих прав. Проблема CVE-2026-48948 давала возможность скачивать vCard-экспорт контактов из com_contact, доступ к которым должен был быть ограничен. Уязвимость CVE-2026-48955 (затрагивает только версии 6.x) раскрывала информацию о стадиях и переходах рабочих процессов пользователям без соответствующих полномочий. Аналогичным образом проблема CVE-2026-48956 позволяла выводить список модулей на фронтенде, а CVE-2026-48957 - получать доступ к наборам данных компонента конфиденциальности. Наконец, CVE-2026-48958 открывала несанкционированное создание пользовательских полей через webservice-интерфейсы.

Вторая группа уязвимостей - межсайтовый скриптинг - затрагивает ещё более широкий круг компонентов. Проблема CVE-2026-48949 обнаружилась в интерфейсе управления многофакторной аутентификацией: отсутствие проверки вводимых данных позволяло внедрять скрипты. CVE-2026-48950 была связана с отсутствием экранирования в представлении файлов компонента com_templates. Уязвимость CVE-2026-48951 затрагивала модальные макеты возврата в различных компонентах. В com_installer (CVE-2026-48952) XSS возникала в списке обновлений. Стандартный макет вывода изображений (CVE-2026-48953) также был подвержен проблеме. Дополнительно CVE-2026-48954 позволяла проводить XSS-атаку через функцию переопределения языковых строк - один из самых давних векторов, присутствующий с версии 3.0.0.

Хотя разработчики оценили вероятность эксплуатации как низкую, а серьёзность - от "средней" до "низкой", совокупность уязвимостей представляет существенную угрозу для сайтов с несколькими администраторами или для тех, где используются пользовательские роли. Злоумышленник, получивший ограниченный доступ к панели управления, мог бы через XSS перехватить сессию администратора и затем использовать проблемы контроля доступа для модификации контента или кражи данных. В худшем случае атакующий мог бы прочитать данные, относящиеся к конфиденциальности пользователей, или создать вредоносные поля на сайте.

Официальные бюллетени Joomla! (номера 1055-1066) содержат полные описания и ссылки на соответствующие CVE. В них перечислены все затронутые версии: для каждой уязвимости указан диапазон, начиная с определённой версии (например, 4.1.0, 4.2.0, 3.0.0) и заканчивая 5.4.6 или 6.1.1. Патчи уже выпущены и доступны для скачивания на официальном сайте.

Администраторам сайтов на Joomla! необходимо выполнить обновление до актуальных версий - 5.4.7 для ветки 5.x и 6.1.2 для ветки 6.x. Временных мер защиты производитель не предоставил, однако если обновление невозможно, рекомендуется временно ограничить доступ к панели управления для пользователей с низкими привилегиями и отключить ненужные веб-сервисы. Данный массовый выпуск патчей подтверждает тенденцию: разработчики Joomla! последовательно закрывают как давние, так и недавно обнаруженные проблемы, снижая риски для тысяч сайтов по всему миру.

Ссылки

Комментарии: 0