Skip to main content
Blog
Joomla 6.1.1 veiligheids en bugfix release
Ontvang onze nieuwsbrief!

Joomla 6.1.1 veiligheids en bugfix release

26 mei 2026

Op dinsdag 26 mei 2026 heeft het Joomla!-project Joomla 6.1.1 uitgebracht, samen met Joomla 5.4.6. Dit zijn security- en bugfix-releases voor de Joomla 5.x- en 6.x-series.

Beveiligingsoplossingen in Joomla 6.1.1

  • Cross-site scripting (XSS) - CVE 20260501, 502, 503, 504, plus de twee Framework-items (519, 520)
    XSS betekent dat een aanvaller kwaadaardige code, meestal JavaScript, in een pagina weet te injecteren zodat deze wordt uitgevoerd in de browser van iemand anders. Daardoor kunnen bijvoorbeeld sessies worden gestolen of acties worden uitgevoerd namens die gebruiker. Deze reeks kwetsbaarheden werd gevonden in de feedmodules, de multilingual associations-component, de contentgeschiedenisfunctie en in "lees meer"-links. De twee Framework-issues (519 en 520) vormen de onderliggende oorzaak van een deel hiervan: de tekstfiltering die gevaarlijke HTML-attributen moest verwijderen, ving niet alles correct af waardoor schadelijke invoer toch kon doorglippen.
  • SQL-injectie - CVE 20260506, 507
    SQL-injectie ontstaat wanneer een aanvaller speciaal samengestelde invoer gebruikt om de database ongewenste acties te laten uitvoeren. Deze twee kwetsbaarheden zijn "authenticated blind"-varianten, wat betekent dat een geldige login vereist is en dat de aanvaller de database-uitvoer niet direct ziet, maar via afleiding toch gegevens kan achterhalen. De problemen werden gevonden in de Smart Search-component (com_finder) en de tags-component.
  • Privilege escalation en fouten in toegangscontrole - CVE 20260508, 513, 514, 515, 516
    Dit zijn situaties waarin gebruikers meer rechten konden krijgen dan toegestaan. Twee kwetsbaarheden maakten privilege escalation mogelijk via het gebruikersbeheer, één via de batchbewerkingstaak en één via de webservice-API. Andere problemen betroffen ontbrekende of foutieve permissiecontroles in configuratie-webservices, sample-data-plugins en de taakplanner, plekken waar het systeem onvoldoende controleerde of iemand wel toegang mocht hebben.
  • Authenticatiebypass - CVE 20260505, 511, 512, 518
    De twee MFA-bypasses (511, 512) behoren tot de ernstigste problemen: hiermee kon een aanvaller multi-factor authenticatie omzeilen, juist de beveiliging die accountovernames moet voorkomen. Het CSRF-probleem (505) in het accountactivatie-endpoint maakte het mogelijk om een ingelogde gebruiker ongemerkt een activatieactie te laten uitvoeren. Daarnaast was er kwetsbaarheid 518, een zogenaamde downgrade-fout: links voor wachtwoord- en gebruikersnaamherstel konden via onbeveiligde HTTP-verbindingen worden verzonden in plaats van via HTTPS, waardoor onderschepping mogelijk werd.
  • Kwetsbaarheden in bestandstoegang - CVE 20260509, 510
    Deze problemen maakten toegang mogelijk tot bestanden die normaal niet bereikbaar zouden mogen zijn. De LFI-kwetsbaarheid ("local file inclusion") in de layoutparameter (509) kon worden misbruikt om willekeurige lokale bestanden te laden via een gemanipuleerde layoutinstelling. De path traversal-kwetsbaarheid in de media-webservice (510) werkte vergelijkbaar, door bijvoorbeeld "../" in paden te gebruiken om buiten de bedoelde mapstructuur toegang te krijgen tot andere bestanden op de server.
  • Cachebug met beveiligingsimpact - CVE 20260517
    Het systeem bouwde cache keys voor inputfilters verkeerd op. Daardoor konden onjuiste, minder strenge filterregels worden toegepast op verzoeken, waardoor de beveiliging van deze filters effectief werd verzwakt.

Bugfixes in Joomla 6.1.1 (en 5.4.6)

Deze fixes zijn van toepassing op beide releases. Alles wat in 5.4.6 werd opgelost, is ook opgenomen in 6.1.1.

  • Beveiligingsoplossingen in externe libraries (6.1.1)
    De meegeleverde encryptielibrary phpseclib werd tweemaal bijgewerkt, waarmee een kwetsbaarheid met hoge ernst en enkele minder ernstige beveiligingsproblemen werden opgelost. Daarnaast zijn nog drie beveiligingsproblemen in development dependencies aangepakt en werd de OAuth2-logincomponent hersteld zodat authenticatie via externe diensten zoals Google weer correct werkt.
  • Problemen die het dagelijks gebruik beïnvloedden
    De automatische updater ruimt nu correct op. Overgebleven update-archiefbestanden werden na een core-update niet verwijderd, maar dat gebeurt nu wel. Ook wordt weer correct weergegeven wanneer voor het laatst op updates is gecontroleerd. Het opslaan van content is betrouwbaarder geworden: wanneer een notificatiemail niet kon worden verzonden, meldde het systeem vroeger onterecht dat het opslaan volledig was mislukt. Dat probleem is opgelost. In de login- en registratieflow ontbrak een tekstmelding ("registratie voltooien"), die nu terug is. Een crash bij webadressen met speciale of internationale tekens wordt nu correct afgehandeld in plaats van de pagina te laten uitvallen. De debugtool laat de website niet langer crashen wanneer de functie "Query Explain" wordt gebruikt tijdens AJAX-verzoeken, en ook een fatale fout bij het laden van templates via de API is opgelost. Daarnaast werd een foutieve melding bij het hernoemen van bestanden gecorrigeerd.
  • Bewerken, formulieren en content
    Publicatie-opties zoals publicatiedata, die verdwenen waren bij het aanmaken van nieuwe artikelen, zijn weer zichtbaar. Versiegeschiedenis wordt nu alleen getoond waar die functionaliteit daadwerkelijk ondersteund wordt, waardoor schermen minder rommelig zijn. Een fout in de layoutcode van herhaalbare velden, veroorzaakt door een ontbrekende accolade, werd opgelost. De menubalk van de TinyMCE-editor is weer zichtbaar in fullscreenmodus en foutmeldingen bij problemen met het bewerken van menu-items zijn verbeterd. Auteurs kunnen opnieuw oudere versies van artikelen correct previewen, category custom fields laden weer zoals verwacht en conversie van HTML naar platte tekst verwerkt HTML-tags correct. Ook zoekt de Fancy Select-dropdown beter op ingevoerde tekst.
  • Toegankelijkheid
    Verschillende verbeteringen richten zich op gebruikers van screenreaders en toetsenbordnavigatie: een ontbrekende tabelkolomkop werd toegevoegd, de link "Back to Top" werd toegankelijk gemaakt, positietellingen voor assistieve technologie worden nu correct vanaf het begin geteld en informatie rond taalinstallaties werd beter toegankelijk gemaakt.
  • Interface en weergave
    De standaardtemplate Cassiopeia kreeg diverse visuele verbeteringen: dropdown- en selectvelden verschijnen niet langer achter andere elementen, de juiste highlightkleur wordt gebruikt in dark mode, uitgeschakelde dropdownvelden krijgen een correcte grijze weergave, de knop "wissen" reset kalenderfilters nu correct en vooraf geselecteerde waarden worden goed weergegeven in Fancy Select-dropdowns. Beheerders die een right-to-left-taal gebruiken krijgen correct uitgelijnde toolbar-dropdowns en de knop om notificaties te sluiten werkt weer correct in light mode.

Een volledig overzicht van alle wijzigingen is te vinden in de 6.1.1 milestone op GitHub.

Upgraden eenvoudig gemaakt

Draait je website al op Joomla 5.4, dan is de overstap naar Joomla 6.1 doorgaans een standaardupgrade en geen volledige migratie. In de meeste gevallen verloopt het proces soepel en efficiënt, mede dankzij de compatibiliteitsplugin die ondersteuning behoudt voor veel bestaande extensies.

Een goede voorbereiding blijft belangrijk. Test de upgrade daarom eerst in een lokale of stagingomgeving voordat je de live website bijwerkt. Zo kun je controleren of templates, extensies en maatwerk correct blijven werken en beperk je het risico op onverwachte problemen of downtime.

Hulp nodig bij het updaten of migreren naar Joomla 6.1.1? Neem contact met ons op!

Peter Martin
Joomla specialist voor snelle, veilige en schaalbare websites.

Andere artikelen

Nieuwe website,
website optimalisatie
website support
of training nodig?

Correspondentie

db8 Website Support
Galiciestraat 35
6663 NR Lent
Nederland

085 - 301 48 28
support at db8 dot nl
06 - 44 214 500 (spoed)

Kantoor Nijmegen

NYMA makersplaats, Unit 69
Winselingseweg 16
6541 AK Nijmegen
Nederland

Op afspraak
maandag t/m vrijdag
09:00 - 17:00
(Tijdzone: Central European Time)

Acquisitie wordt niet
op prijs gesteld.

© db8.nl. All rights reserved.