Op dinsdag 2 juni heeft Joomla een nieuwe versie vrijgegeven. Met Joomla 3.9.20 worden 6 veiligheidsproblemen verholpen en meer dan 25 programmeerfouten (bugs) en verbeteringen doorgevoerd.
Veiligheid
De zes veiligheidsverbeteringen (security fixes) in Joomla 3.9.20 zijn:
- Het ontbreken van een controle van een token in de ajax_install endpoint van com_installer veroorzaakt een CSRF-kwetsbaarheid (Cross-Site Request Forgery).
Lage prioriteit
Betreft Joomla 3.7.0 tot en met 3.9.19
Meer informatie - Onbrekende validatiecontroles op de 'usergroups' tabel object kunnen resulteren in een gecrashte configuratie van de website.
Lage prioriteit
Betreft Joomla 2.5.0 tot en met 3.9.19
Meer informatie - In de verwijder-functie van com_privacy ontbreekt de controle van een token. Dit veroorzaakt een CSRF-kwetsbaarheid (Cross-Site Request Forgery).
Lage prioriteit
Betreft Joomla 3.9.0 tot en met 3.9.19
Meer informatie - Interne 'read-only'-velden in de Users-table class kan worden gewijzigd door gebruikers.
Gemiddelde prioriteit
Betreft Joomla 3.0.0 tot en met 3.9.19
Meer informatie - De ingevulde link naar een afbeelding in de module mod_random_image (willekeurige afbeelding) wordt niet goed gefilterd, wat XSS-aanvallen (Cross-Site Scripting) kan veroorzaken.
Gemiddelde prioriteit
Betreft Joomla 3.0.0 tot en met 3.9.19
Meer informatie - Onzorgvuldige filtering in het schem met Systeeminformatie kan redis of proxy inloggegevens onthullen.
Gemiddelde prioriteit
Betreft Joomla 3.0.0 tot en met 3.9.19
Meer informatie
Gerepareerde en verbeterde bugs
Behalve de veiligheidsverbetering die hierboven wordt genoemd zijn er ook meer dan 25 verbeteringen in Joomla 3.9.20 verwerkt, waaronder:
- Upload & Update tabblad van Joomla Update component: Reparatie om toe te staan dat alleen het .zip bestandstype kan worden geüpload
- Lokale database server: Toestaan van optionele poortnummers
- Beez3 template: Markup reparatie voor de tabblad weergave van com_contact
- Beez3 template: Toestaan van extra velden bewerken op de frontend
- Backend cache wissen bij het verwijderen van updates
Kijk op GitHub voor de volledige lijst met bug-fixes.
Download
Joomla 3.9.20 (zip)
Joomla 3 upgrade-pakket van 3.9.19 naar 3.9.20 (zip)
Joomla 3 upgrade-pakket van 3.9.x naar 3.9.20 (zip)
Lees voordat je gaat updaten eerst de instructies op https://docs.joomla.org/J3.x:Updating_from_an_existing_version/nl