Вышел и доступен для скачивания новый релиз безопасности Joomla 3.9.25, который устраняет девять уязвимостей безопасности и содержит более 40 исправлений ошибок и улучшений. Данное обновление незамедлительно рекомендуется к установке. Но рекомендуется подождать следующей, более стабильной версии.
Что нового в 3.9.25?
Joomla 3.9.25 включает в себя пять исправления уязвимостей с низким влиянием и четыре исправления с среднем уровнем влияния, а также несколько ошибок и улучшений, в том числе:
Исправлена уязвимость безопасности:
- Низкий приоритет - Низкое влияние - Небезопасная случайность при генерации секрета 2FA (затрагивает версии Joomla с 3.2.0 по 3.9.24).
- Низкий приоритет - Низкое влияние - потенциально небезопасный FOFEncryptRandval (затрагивает версии Joomla с 3.2.0 по 3.9.24).
- Низкий приоритет - Низкое влияние - XSS в предупреждающих сообщениях, показываемых пользователям (затрагивает версии Joomla с 2.5.0 по 3.9.24).
- Низкий приоритет - Низкое влияние - XSS в библиотеке парсера ленты новостей (затрагивает версии Joomla с 2.5.0 по 3.9.24).
- Низкий приоритет - Низкое влияние - Проверка ввода в диспетчере шаблонов (затрагивает версии Joomla с 3.2.0 по 3.9.24).
- Низкий приоритет - Среднее влияние - Допустимые пути com_media, которые не предназначены для загрузки изображений (затрагивает версии Joomla с 3.0.0 по 3.9.24).
- Низкий приоритет - Среднее влияние - Нарушение ACL при редактировании внешнего интерфейса com_content (затрагивает версии Joomla с 3.0.0 по 3.9.24).
- Низкий приоритет - Среднее влияние - Обход пути в классе Joomla/archive zip (затрагивает версии Joomla с 3.0.0 по 3.9.24).
- Низкий приоритет - Среднее влияние - Неадекватная фильтрация содержимого формы может позволить перезаписать поле автора (затрагивает версии Joomla с 1.6.0 по 3.9.24).
Исправления ошибок и улучшения:
- Добавлено предупреждение в core.js для рендеринга сообщений docblock.
- Исправить тег "Сохранить как копию".
- Потоковый транспорт должен включать verify_peer_name, когда это возможно.
- Исправить элементы пакетного меню.
- Добавлены некоторые отсутствующие устаревшие версии.
- Добавить фильтр пути к процессу загрузки обновлений Joomla для временной папки.
- Исправить список категорий для категорий пакетного процесса.
- Зависимость - Поднять Joomla/filter до версии 1.4.1.
- Переименовывать неправильно оформленные файлы при обновлении или при исправлении базы данных.
- Убедитесь, что установщик URL не разрешает использование других схем, кроме http и https.
- Убедитесь, что конечная точка sendmail может быть вызвана только по почте.
- Продолжение улучшения поддержки PHP 8.
Я обновил несколько своих сайтов и проблем замечено не было.
Не забывайте делать резервную копию сайта перед обновлением.
Всем удачи!
