25 февраля 2026, 10:53
Обновление безопасности для Tassos Framework

7 января 2026 года греческому Joomla-разработчику Тассосу Мариносу сообщили об уязвимости в системном плагине Tassos Framework, который входит в состав его расширений.
⚠️ ПЗадача затрагивает следующие расширения:
Convert Forms - конструктор форм обратной связи для Joomla
EngageBox - конструктор всплывающих окон для Joomla
Google Structured Data - пакет плагинов микроразметки для Joomla
Advanced Custom Fields - пакет плагинов пользовательских полей (видео-сервисы, карты и иже с ними)
Smile Pack - пакет расширений
MailChimp Auto-Subscribe
Незамедлительно была проведена полная внутренняя тест кода, внедрены дополнительные меры проверки и повышения безопасности, а равным образом выпущены исправленные версии всех затронутых расширений. ПЗадача полностью решена.
👉 Суть уязвимости
Уязвимость заключалась в том, как плагин Tassos Framework обрабатывал определенные AJAX-запросы через com_ajax точку входа Joomla. При определенных условиях внутренняя функциональность фреймворка могла быть вызвана без надлежащих ограничений.
В худшем случае это могло позволить неавторизованному злоумышленнику ознакомиться файлы, доступные веб-серверу. Это равным образом могло позволить удалять файлы с сервера при выполнении определенных условий.
При определенных обстоятельствах запросы к базе данных могли быть изменены для извлечения данных из базы данных Joomla. В совокупности эти возможности потенциально могли быть использованы для повышения уровня доступа и выполнения несанкционированного кода.
В настоящее время нет никаких доказательств того, что эта уязвимость была использована в реальных условиях.
Минимально безопасные версии
Немедленно обновите расширения до безопасных версий (Joomla 4/5/6 | Joomla 3):
Convert Forms - v5.1.1 / v.4.1.1
EngageBox - v.7.1.1 / v,6,3,9
Google Structured Data - v.6.1.1 / v.5.6.9
Advanced Custom Fields - v.3.1.1 / v.2.8.10
Smile Pack - v.2.1.1 / v.1.2.4.
MailChimp Auto-Subscribe - v.5.1.1+ / v.5.0.4
Все указанные версии включают в себя релиз безопасности плагина Tassos Framework System Plugin v6.0.62.
Если у вас установлено некоторое количество расширений Tassos, в достаточной степени обновить только одно, чтобы применить патч. ОТем не менее всегда рекомендуется обновлять все расширения.
Ресурсы сообщества:
Telegram:
Max:
Читают сейчас

17 июля 2026, 13:04
Обзор изменений в законодательстве за июнь 2026 года
В обзоре изменений за июнь 2026 года рассмотрим следующие темы: критическая информационная инфраструктура, финансовые организации, деятельность ФСТЭК России, судебная практика и другие. Читать далее

17 июля 2026, 13:00
«Яндекс» назвал победителей первой премии «Сделано с ИИ»
«Яндекс» подвёл итоги первой премии «Сделано с ИИ», учреждённой для специалистов, которые применяют искусственный интеллект при решении профессиональных задач. Победителями стали разработчики проектов

17 июля 2026, 12:58
Почти 300 репозиториев GitHub использовались для распространения программ-стилеров
На GitHub обнаружили масштабную атаку: 292 репозитория с инфостилерами, которые имитировали известные инструменты в области безопасности, финансов и разработки. По поведению вредонос похож на семейств

17 июля 2026, 12:57
Выпуск ProGate 1.3.0: сопровождение Shardman, отказоустойчивость и улучшения безопасности
Postgres Professional представляет обновление платформы миграции и репликации данных — Postgres ProGate 1.3.0. Ключевые темы релиза: полноценная поддержка Postgres Pro Shardman в качестве приёмника с

17 июля 2026, 12:22
«Авито» планирует запустить свой служба знакомств
«Авито» изучает возможность запуска сервиса знакомств для серьёзных отношений, который будет встроен в основное приложение платформы, рассказали «Ъ» источники, знакомые с планами компании. В «Авито» п