Обновление безопасности для Tassos Framework

7 января 2026 года греческому Joomla-разработчику Тассосу Мариносу сообщили об уязвимости в системном плагине Tassos Framework, который входит в состав его расширений.

⚠️ Проблема затрагивает следующие расширения:

Convert Forms - конструктор форм обратной связи для Joomla

EngageBox - конструктор всплывающих окон для Joomla

Google Structured Data - пакет плагинов микроразметки для Joomla

Advanced Custom Fields - пакет плагинов пользовательских полей (видео-сервисы, карты и иже с ними)

Smile Pack - пакет расширений

MailChimp Auto-Subscribe

Незамедлительно была проведена полная внутренняя проверка кода, внедрены дополнительные меры проверки и повышения безопасности, а также выпущены исправленные версии всех затронутых расширений. Проблема полностью решена.

Уязвимость заключалась в том, как плагин Tassos Framework обрабатывал определенные AJAX-запросы через com_ajax точку входа Joomla. При определенных условиях внутренняя функциональность фреймворка могла быть вызвана без надлежащих ограничений.

В худшем случае это могло позволить неавторизованному злоумышленнику читать файлы, доступные веб-серверу. Это также могло позволить удалять файлы с сервера при выполнении определенных условий.

При определенных обстоятельствах запросы к базе данных могли быть изменены для извлечения данных из базы данных Joomla. В совокупности эти возможности потенциально могли быть использованы для повышения уровня доступа и выполнения несанкционированного кода.

В настоящее время нет никаких доказательств того, что эта уязвимость была использована в реальных условиях.

Немедленно обновите расширения до безопасных версий (Joomla 4/5/6 | Joomla 3):

Convert Forms - v5.1.1 / v.4.1.1

EngageBox - v.7.1.1 / v,6,3,9

Google Structured Data - v.6.1.1 / v.5.6.9

Advanced