Обновление безопасности для Tassos Framework

7 января 2026 года греческому Joomla-разработчику Тассосу Мариносу сообщили об уязвимости в системном плагине Tassos Framework, который входит в состав его расширений.

⚠️ ПЗадача затрагивает следующие расширения:

• Convert Forms - конструктор форм обратной связи для Joomla

• EngageBox - конструктор всплывающих окон для Joomla

• Google Structured Data - пакет плагинов микроразметки для Joomla

• Advanced Custom Fields - пакет плагинов пользовательских полей (видео-сервисы, карты и иже с ними)

• Smile Pack - пакет расширений

• MailChimp Auto-Subscribe

Незамедлительно была проведена полная внутренняя тест кода, внедрены дополнительные меры проверки и повышения безопасности, а равным образом выпущены исправленные версии всех затронутых расширений. ПЗадача полностью решена.

👉 Суть уязвимости

Уязвимость заключалась в том, как плагин Tassos Framework обрабатывал определенные AJAX-запросы через com_ajax точку входа Joomla. При определенных условиях внутренняя функциональность фреймворка могла быть вызвана без надлежащих ограничений.

В худшем случае это могло позволить неавторизованному злоумышленнику ознакомиться файлы, доступные веб-серверу. Это равным образом могло позволить удалять файлы с сервера при выполнении определенных условий.

При определенных обстоятельствах запросы к базе данных могли быть изменены для извлечения данных из базы данных Joomla. В совокупности эти возможности потенциально могли быть использованы для повышения уровня доступа и выполнения несанкционированного кода.

В настоящее время нет никаких доказательств того, что эта уязвимость была использована в реальных условиях.

Минимально безопасные версии

Немедленно обновите расширения до безопасных версий (Joomla 4/5/6 | Joomla 3):

• Convert Forms - v5.1.1 / v.4.1.1

• EngageBox - v.7.1.1 / v,6,3,9

• Google Structured Data - v.6.1.1 / v.5.6.9

• Advanced Custom Fields - v.3.1.1 / v.2.8.10

• Smile Pack - v.2.1.1 / v.1.2.4.

• MailChimp Auto-Subscribe - v.5.1.1+ / v.5.0.4

Все указанные версии включают в себя релиз безопасности плагина Tassos Framework System Plugin v6.0.62.

Если у вас установлено некоторое количество расширений Tassos, в достаточной степени обновить только одно, чтобы применить патч. ОТем не менее всегда рекомендуется обновлять все расширения.

Новость в блоге Tassos.

Ресурсы сообщества:

• форум русской поддержки Joomla.

• интернет-портал Joomla-сообщества.

Telegram:

• Чат сообщества «Joomla! по-русски».

• Joomla для профессионалов, авторы Joomla.

• Новости о Joomla! и веб-разработке по-русски.

• Англоязычный чат сообщества.

• Новости Joomla! по-английски

Max:

• Чат сообщества «Joomla! по-русски».

• Новости о Joomla! и веб-разработке по-русски.