- Обнаружена уязвимость в системном плагине Tassos Framework, используемом в нескольких расширениях Joomla.
- Возможности уязвимости включали чтение и удаление файлов, а также изменение запросов к базе данных, что потенциально могло привести к выполнению несанкционированного кода.
- Выпущены обновления для всех затронутых расширений, рекомендовано немедленное обновление до безопасных версий.
7 января 2026 года разработчик Joomla Тассос Маринос получил уведомление о критической уязвимости в системном плагине Tassos Framework, который входит в состав ряда популярных расширений для CMS Joomla. Уязвимость касалась некорректной обработки AJAX-запросов через точку входа com_ajax, позволяя при определённых условиях злоумышленникам использовать внутренний функционал фреймворка без соответствующих ограничений.
Такое поведение могло привести к чтению и удалению файлов, доступных веб-серверу, а также к изменению запросов к базе данных Joomla, что в свою очередь создавало угрозу несанкционированного доступа и выполнения вредоносного кода. Несмотря на серьёзность потенциальных последствий, на данный момент нет подтверждений фактического использования уязвимости в реальных атаках.
Минимальные версии расширений, в которых внедрён исправляющий патч плагина Tassos Framework System Plugin v6.0.62, включают: Convert Forms (v5.1.1 / v4.1.1), EngageBox (v7.1.1 / v6.3.9), Google Structured Data (v6.1.1 / v5.6.9), Advanced Custom Fields (v3.1.1 / v2.8.10), Smile Pack (v2.1.1 / v1.2.4) и MailChimp Auto-Subscribe (v5.1.1+ / v5.0.4). Для устранения проблемы достаточно обновить даже одно из установленных расширений Tassos, однако рекомендуется обновлять все используемые компоненты.
Немедленное обновление до безопасных версий является обязательным для предотвращения возможных атак и обеспечения защиты веб-сайтов на базе Joomla. Дополнительную информацию и ссылки на поддержку можно найти на официальном блоге Tassos, а также в форумах и сообществах, посвящённых Joomla.
