Вышли релизы безопасности Joomla 6.1.1 и Joomla 5.4.6

Проект Joomla! рад сообщить о выходе Joomla 6.1.1 и Joomla 5.4.6. Это релизы безопасности и исправления ошибок для серий 5.x и 6.x.

Данные обновления продолжают поддерживать высокие стандарты Joomla в области доступного веб-дизайна, инклюзивности и простоты, делая платформу еще более мощной и защищенной.

Исправления безопасности

В данном релизе были устранены следующие уязвимости в ядре и фреймворке Joomla:

• [20260501] — Ядро — XSS (межсайтовый скриптинг) в модулях лент новостей (feed modules)
• [20260502] — Ядро — XSS в компоненте com_associations
• [20260503] — Ядро — XSS в компоненте com_contenthistory
• [20260504] — Ядро — XSS в ссылках «Подробнее» (readmore)
• [20260505] — Ядро — CSRF (подделка межсайтовых запросов) в конечной точке активации пользователей
• [20260506] — Ядро — Слепая SQL-инъекция с авторизацией (Authenticated blind SQLi) в com_finder
• [20260507] — Ядро — Слепая SQL-инъекция с авторизацией (Authenticated blind SQLi) в com_tags
• [20260508] — Ядро — Недостаточная проверка прав доступа в конечных точках веб-службы com_config
• [20260509] — Ядро — LFI (локальное включение файлов) в параметре макета HTMLView
• [20260510] — Ядро — Выход за пределы каталога (path traversal) в конечной точке веб-службы com_media
• [20260511] — Ядро — Обход многофакторной аутентификации (MFA Bypass)
• [20260512] — Ядро — Обход многофакторной аутентификации (MFA Bypass)
• [20260513] — Ядро — Повышение привилегий через пакетные задачи com_users
• [20260514] — Ядро — Повышение привилегий через конечные точки веб-службы com_users
• [20260515] — Ядро — Некорректный контроль доступа в плагинах демо-данных (sample data)
• [20260516] — Ядро — Некорректный контроль доступа в com_scheduler
• [20260517] — Ядро — Некорректное построение ключа кэша для объектов InputFilter
• [20260518] — Ядро — Понижение уровня шифрования транспорта для ссылок сброса пароля и имени пользователя
• [20260519] — Фреймворк — Недостаточная фильтрация контента в коде фильтра checkAttribute
• [20260520] — Фреймворк — Недостаточная фильтрация контента в коде фильтра cleanAttributes

Исправления ошибок и улучшения

Ниже приведен список ключевых исправлений, вошедших в Joomla 6.1.1 и Joomla 5.4.6 (все изменения из ветки 5.4 также автоматически перенесены в 6.1):

• #45145 [5.4] Исправлено неверное исключение при переименовании файлов
• #47307 [5.4] Улучшение доступности (a11y) для кнопки возврата к началу страницы (Back-to-Top)
• #47413 [5.4] Устранено ложное сообщение об ошибке сохранения при сбое отправки почтового уведомления
• #47423 [5.4] Улучшен поиск по подстроке в выпадающих списках Fancy Select
• #47476 [5.4] Добавлен недостающий параметр страницы в аргументы событий контента (contentEventArguments) модуля материалов
• #47480 [5.4] Исправлен неверный ключ параметра привязки в HTML-хелпере категорий
• #47533 [5.4] Исправлена опечатка валидации режима ECB в адаптере OpenSSL AES и обновлена документация
• #47546 [6.1] Реализовано отображение предварительно выбранного значения в Fancy Select
• #47557 [6.1] Добавлен перехват исключений при конвертации punycode для предотвращения критических сбоев
• #47565 [5.4] Вложения теперь корректно передаются в виде списка объектов
• #47574 [6.1] Исправлено переопределение цвета фона для класса .is-selected в темной теме оформления
• #47586 [5.4] Исправлена загрузка настраиваемых полей (custom fields) для категорий
• #47590 [5.4] Исправлено автоматическое удаление архива обновления после завершения апдейта ядра
• #47599 [6.1] Добавлена возможность переопределения сворачиваемого меню по умолчанию
• #47601 [6.1] Исправлено падение плагина отладки (debug) при вызове Query Explain в AJAX-запросах
• #47602 [6.1] Добавлены скрипты уведомлений об ошибках AJAX для улучшения обратной связи при редактировании пунктов меню
• #47604 [5.4] Исправлена замена тегов при конвертации HTML-текста писем в обычный текст (plain text body)
• #47616 [5.4] Добавлен языковой формат перевода для корректного отображения времени последней проверки автообновлений
• #47617 [6.1] Исправлен отсутствующий закрывающий тег (>) для элементов fieldset в повторяющихся макетах (repeatable layouts)
• #47640 [6.1] Исправлено отображение полей публикации в форме быстрого создания материала
• #47642 [5.4] Скорректирован атрибут доступности aria-posinset: теперь отсчет элементов списка всегда начинается с 1
• #47644 [5.4] Исправлен отсутствующий заголовок столбца в таблицах панели управления (a11y)
• #47646 [6.1] Предотвращена критическая ошибка (fatal error) при вызове метода getTemplate в API-приложениях
• #47650 [5.4] Исправлено выравнивание выпадающего списка панели инструментов для языков с письмом справа налево (RTL) в админ-панели
• #47653 [5.4] Добавлена озвучка для экранных дикторов об информации об установке языковых пакетов (a11y)
• #47659 [6.1] Исправлено дефолтное значение для параметра сохранения истории (save_history) в компоненте com_modules
• #47661 [6.1] Исправлено отображение панели меню редактора TinyMCE при переходе в полноэкранный режим
• #47686 [6.1] Исправлена кнопка очистки фильтров: теперь она корректно сбрасывает значения календаря
• #47694 [6.1] История версий в FormView теперь отображается только в тех случаях, когда она поддерживается компонентом
• #47697 [5.4] Перенесена загрузка языковых файлов модуля mod_menu после определения client_id в ItemsModel
• #47715 [6.1] В шаблоне Cassiopeia исправлен z-index для полей выбора (select fields)
• #47729 [5.4] Исправлено отображение кнопки закрытия уведомлений (dismiss) в светлой теме
• #47731 [5.4] Проверка имени дочернего шаблона теперь валидирует исключительно тип шаблона
• #47735 [5.4] Исправлен функционал предпросмотра версий материалов для пользователей с правами «Автор» (Authors)
• #47775 [6.1] Добавлена CSS-переменная цвета для заблокированных полей (choicesjs)

Полные списки изменений доступны на GitHub: для Joomla 6.1.1 и для Joomla 5.4.6.

Где можно скачать Joomla?

Новая установка

Инструкция по установке и системные требования

Установка 6.1.1

Обновление

Обновление 6.1.1

Обновление 5.4.6

Хотите ознакомиться с Joomla 6 без необходимости ее установки? Есть решение - попробуйте Joomla 6 на launch.joomla.org.

Как я могу обновить свой сайт до Joomla 6?

Переход с Joomla 4.4.x до 5.x - это обновление, а не миграция.

Почему?

Хорошие новости: при переходе с Joomla 5.4.x на 6.x — это обновление, а не миграция. Почему? Две основные причины

1. Расширения Joomla 5 (J5), в которых удалены все устаревшие элементы кода и используется актуальный код Joomla, будут работать в Joomla 6 (J6).

2. Большинство остальных расширений будет работать при включённом новом плагине обратной совместимости — Behaviour 6 - Backward Compatibility Plugin

Полную информацию можно найти здесь.

Примечание: мы советуем сначала протестировать обновление на копии вашего рабочего сайта.

Как вы можете помочь развитию Joomla?

Существует множество способов, с помощью которых вы можете принять активное участие в развитии Joomla. Неважно, являетесь ли вы разработчиком, интегратором или просто пользователем Joomla. Вы можете присоединиться к сообществу на Mattermost и просмотреть команды, к которым можно присоединиться, или, если вы готовы, вы можете сразу же вступить в команду Joomla! Bug Squad.

Joomla! Bug Squad и CMS Release Team являются одними из самых активных команд в процессе разработки CMS и всегда ищут людей (не только разработчиков), которые могут помочь в сортировке сообщений об ошибках, написании патчей и тестировании решений. Это отличный способ расширить свои знания о кодовой базе Joomla, а также познакомиться с новыми людьми со всего мира.

Где можно найти документацию разработчика по Joomla 6?

Существует довольно много руководств, которые помогут вам в работе с Joomla 4/5. На страницах manual.joomla.org вы можете найти такие руководства как: создание плагина или модуля для Joomla 6, соглашения о пространствах имен, подготовленные операторы, использование новых классов веб-ассетов и многое другое.

Мы призываем разработчиков помочь в написании документации по Joomla 6 на сайте manual.joomla.org, чтобы помочь пользователям и другим разработчикам расширений.

Благодарность волонтерам

Joomla создается силами добровольцев по всему миру. Огромное спасибо всем, кто внес свой вклад в подготовку этих релизов! Если вы хотите помочь проекту, присоединяйтесь к командам Bug Squad или Documentation через сообщество в Mattermost.