Обновление безопасности для Tassos Framework

2 мин
Обновление безопасности для Tassos Framework

7 января 2026 года греческому Joomla-разработчику Тассосу Мариносу сообщили об уязвимости в системном плагине Tassos Framework, который входит в состав его расширений.

⚠️ ПЗадача затрагивает следующие расширения:

  • Convert Forms - конструктор форм обратной связи для Joomla

  • EngageBox - конструктор всплывающих окон для Joomla

  • Google Structured Data - пакет плагинов микроразметки для Joomla

  • Advanced Custom Fields - пакет плагинов пользовательских полей (видео-сервисы, карты и иже с ними)

  • Smile Pack - пакет расширений

  • MailChimp Auto-Subscribe

Незамедлительно была проведена полная внутренняя тест кода, внедрены дополнительные меры проверки и повышения безопасности, а равным образом выпущены исправленные версии всех затронутых расширений. ПЗадача полностью решена.

👉 Суть уязвимости

Уязвимость заключалась в том, как плагин Tassos Framework обрабатывал определенные AJAX-запросы через com_ajax точку входа Joomla. При определенных условиях внутренняя функциональность фреймворка могла быть вызвана без надлежащих ограничений.

В худшем случае это могло позволить неавторизованному злоумышленнику ознакомиться файлы, доступные веб-серверу. Это равным образом могло позволить удалять файлы с сервера при выполнении определенных условий.

При определенных обстоятельствах запросы к базе данных могли быть изменены для извлечения данных из базы данных Joomla. В совокупности эти возможности потенциально могли быть использованы для повышения уровня доступа и выполнения несанкционированного кода.

В настоящее время нет никаких доказательств того, что эта уязвимость была использована в реальных условиях.

Минимально безопасные версии

Немедленно обновите расширения до безопасных версий (Joomla 4/5/6 | Joomla 3):

  • Convert Forms - v5.1.1 / v.4.1.1

  • EngageBox - v.7.1.1 / v,6,3,9

  • Google Structured Data - v.6.1.1 / v.5.6.9

  • Advanced Custom Fields - v.3.1.1 / v.2.8.10

  • Smile Pack - v.2.1.1 / v.1.2.4.

  • MailChimp Auto-Subscribe - v.5.1.1+ / v.5.0.4

Все указанные версии включают в себя релиз безопасности плагина Tassos Framework System Plugin v6.0.62.

Если у вас установлено некоторое количество расширений Tassos, в достаточной степени обновить только одно, чтобы применить патч. ОТем не менее всегда рекомендуется обновлять все расширения.

Новость в блоге Tassos.

Ресурсы сообщества:

Telegram:

Max:

Читают сейчас

Обзор изменений в законодательстве за июнь 2026 года

17 июля 2026, 13:04

Обзор изменений в законодательстве за июнь 2026 года

В обзоре изменений за июнь 2026 года рассмотрим следующие темы: критическая информационная инфраструктура, финансовые организации, деятельность ФСТЭК России, судебная практика и другие. Читать далее

«Яндекс» назвал победителей первой премии «Сделано с ИИ»

17 июля 2026, 13:00

«Яндекс» назвал победителей первой премии «Сделано с ИИ»

«Яндекс» подвёл итоги первой премии «Сделано с ИИ», учреждённой для специалистов, которые применяют искусственный интеллект при решении профессиональных задач. Победителями стали разработчики проектов

Почти 300 репозиториев GitHub использовались для распространения программ-стилеров

17 июля 2026, 12:58

Почти 300 репозиториев GitHub использовались для распространения программ-стилеров

На GitHub обнаружили масштабную атаку: 292 репозитория с инфостилерами, которые имитировали известные инструменты в области безопасности, финансов и разработки. По поведению вредонос похож на семейств

Выпуск ProGate 1.3.0: сопровождение Shardman, отказоустойчивость и улучшения безопасности

17 июля 2026, 12:57

Выпуск ProGate 1.3.0: сопровождение Shardman, отказоустойчивость и улучшения безопасности

Postgres Professional представляет обновление платформы миграции и репликации данных — Postgres ProGate 1.3.0. Ключевые темы релиза: полноценная поддержка Postgres Pro Shardman в качестве приёмника с

«Авито» планирует запустить свой служба знакомств

17 июля 2026, 12:22

«Авито» планирует запустить свой служба знакомств

«Авито» изучает возможность запуска сервиса знакомств для серьёзных отношений, который будет встроен в основное приложение платформы, рассказали «Ъ» источники, знакомые с планами компании. В «Авито» п