Joomla 5.4.6 Security & Bugfix Release

Op dinsdag 26 mei 2026 heeft het Joomla!-project Joomla 6.1.1 uitgebracht samen met Joomla 5.4.6. Dit zijn security- en bugfix-releases voor de Joomla 5.x- en 6.x-series.

Beveiligingsoplossingen in Joomla 5.4.6

• Cross-site scripting (XSS) - CVE 20260501, 502, 503, 504, plus de twee Framework-items (519, 520)
  XSS betekent dat een aanvaller kwaadaardige code, meestal JavaScript, in een pagina weet te injecteren zodat deze wordt uitgevoerd in de browser van iemand anders. Daardoor kunnen bijvoorbeeld sessies worden gestolen of acties worden uitgevoerd namens die gebruiker. Deze reeks kwetsbaarheden werd gevonden in de feedmodules, de multilingual associations-component, de contentgeschiedenisfunctie en in "lees meer"-links. De twee Framework-issues (519 en 520) vormen de onderliggende oorzaak van een deel hiervan: de tekstfiltering die gevaarlijke HTML-attributen moest verwijderen, ving niet alles correct af waardoor schadelijke invoer toch kon doorglippen.
• SQL-injectie - CVE 20260506, 507
  SQL-injectie ontstaat wanneer een aanvaller speciaal samengestelde invoer gebruikt om de database ongewenste acties te laten uitvoeren. Deze twee kwetsbaarheden zijn "authenticated blind"-varianten, wat betekent dat een geldige login vereist is en dat de aanvaller de database-uitvoer niet direct ziet, maar via afleiding toch gegevens kan achterhalen. De problemen werden gevonden in de Smart Search-component (com_finder) en de tags-component.
• Privilege escalation en fouten in toegangscontrole - CVE 20260508, 513, 514, 515, 516
  Dit zijn situaties waarin gebruikers meer rechten konden krijgen dan toegestaan. Twee kwetsbaarheden maakten privilege escalation mogelijk via het gebruikersbeheer, één via de batchbewerkingstaak en één via de webservice-API. Andere problemen betroffen ontbrekende of foutieve permissiecontroles in configuratie-webservices, sample-data-plugins en de taakplanner, plekken waar het systeem onvoldoende controleerde of iemand wel toegang mocht hebben.
• Authenticatiebypass - CVE 20260505, 511, 512, 518
  De twee MFA-bypasses (511, 512) behoren tot de ernstigste problemen: hiermee kon een aanvaller multi-factor authenticatie omzeilen, juist de beveiliging die accountovernames moet voorkomen. Het CSRF-probleem (505) in het accountactivatie-endpoint maakte het mogelijk om een ingelogde gebruiker ongemerkt een activatieactie te laten uitvoeren. Daarnaast was er kwetsbaarheid 518, een zogenaamde downgrade-fout: links voor wachtwoord- en gebruikersnaamherstel konden via onbeveiligde HTTP-verbindingen worden verzonden in plaats van via HTTPS, waardoor onderschepping mogelijk werd.
• Kwetsbaarheden in bestandstoegang - CVE 20260509, 510
  Deze problemen maakten toegang mogelijk tot bestanden die normaal niet bereikbaar zouden mogen zijn. De LFI-kwetsbaarheid ("local file inclusion") in de layoutparameter (509) kon worden misbruikt om willekeurige lokale bestanden te laden via een gemanipuleerde layoutinstelling. De path traversal-kwetsbaarheid in de media-webservice (510) werkte vergelijkbaar, door bijvoorbeeld "../" in paden te gebruiken om buiten de bedoelde mapstructuur toegang te krijgen tot andere bestanden op de server.
• Cachebug met beveiligingsimpact - CVE 20260517
  Het systeem bouwde cache keys voor inputfilters verkeerd op. Daardoor konden onjuiste, minder strenge filterregels worden toegepast op verzoeken, waardoor de beveiliging van deze filters effectief werd verzwakt.

Bugfixes in Joomla 5.4.6

• Toegankelijkheid
  Deze release bevat verschillende verbeteringen voor gebruikers van screenreaders en toetsenbordnavigatie. De link "Back to Top" werkt nu correct met assistieve technologie, een ontbrekende tabelkolomkop werd toegevoegd en het scherm met informatie over taalinstallaties werd toegankelijker gemaakt.
• Bewerken en content
  Enkele fixes maken het dagelijkse werk soepeler. Wanneer een notificatiemail niet kon worden verzonden, meldde het systeem vroeger onterecht dat het opslaan volledig was mislukt, terwijl dat niet zo was. Dat probleem is opgelost. Custom fields gekoppeld aan categorieën laden weer correct en auteurs kunnen opnieuw eerdere versies van artikelen correct previewen.
• Updates en onderhoud
  De automatische updater kreeg twee nuttige verbeteringen: overgebleven update-archiefbestanden worden nu correct verwijderd nadat de core zichzelf heeft bijgewerkt en het systeem toont weer correct wanneer voor het laatst op updates werd gecontroleerd.
• Interface en weergave
  Visueel zijn er ook enkele verbeteringen doorgevoerd. Toolbar-dropdownmenu's worden nu correct uitgelijnd in het beheergedeelte voor right-to-left-talen zoals Arabisch en Hebreeuws. Daarnaast zoekt de Fancy Select-dropdown nu beter doordat ingevoerde tekst overal binnen een optie wordt gematcht in plaats van alleen aan het begin.

Opmerking: upgrade niet rechtstreeks naar 5.x vanaf een versie lager dan 4.4! Werk eerst bij naar 4.4 en daarna naar 5.x.

Een volledig overzicht van alle wijzigingen is te vinden in de 5.4.6 milestone op GitHub.

Upgrade naar Joomla 6

Het belangrijkste doel van de Joomla 5.4.x-releases is website-eigenaars voorbereiden op een eenvoudige overstap van Joomla 5.x naar Joomla 6.x. Alle nieuwe websites die wij ontwikkelen worden direct gebouwd op Joomla 6.x. Bestaande websites worden geüpgraded zodra de hostingomgeving, inclusief PHP- en databaseversies, samen met alle geïnstalleerde extensies volledig compatibel zijn met Joomla 6.

Hulp nodig bij het updaten of migreren van je website naar Joomla 6? Neem contact met ons op!