Wie und wo finde Security Hinweise

    Joomla Version
    5.x
    PHP Version
    PHP 8.4.x
    Hoster
    Dogado

    Hallo Zusammen,

    ich bekam eine Mail von website-bereinigung.de, dass auf meiner Website das Tasso-Framework installiert sei und dieses ein größeres Sicherheitsrisiko darstellt. Es müsse dringend gepatcht werden.

    Mir ist das garnicht aufgefallen, da dieses Framework deaktiviert war.

    Jetzt hab ich diese Erweiterung gelöscht.

    Dies alles liegt wohl daran, dass ich halt kein Joomla Experte bin und lediglich die Updates mache, die mir im Backend auch angezeigt werden.

    Diese prüfe ich auch wöchentlich.

    Und nun meine Frage:

    Gibt es einen Kanal, Newsletter, o.ä., der mich über Sicherheitsrelevante Dinge (wie z.B. o.g.) bzgl. Joomla und dessen Erweiterungen zeitnah informiert bzw. wo ich solche Dinge nachlesen kann?

    Über diese Tasso Lücke hatte keine Kenntnis.

    Bin da für alle Tipps und Infos sehr dankbar ...

    LG und noch frohe Ostern ,

    Rosi

    Wichtig ist halt, dass man Aktualisierungen immer zeitnah einspielt, auch dann, wenn sie deaktiviert sind. Wenn Drittanbieter-Erweiterungen nicht benötigt werden, dann auf jeden Fall deinstallieren. Ich habe oft mit Webseiten zu tun, wo beispielsweise zahlreiche Templates zum Testen installiert sind. Nach der Entscheidung für 1 Template werden die anderen da einfach "liegengelassen". Man sollte sich also regelmäßig um seine Webseite kümmern, also nicht nur wenn man etwas ändern möchte.
    Und zweitens sollte man sein administrator-Verzeichnnis mit zusätzlichem Passwortschutz absichern, sofern nicht bereits geschehen.

    Wenn du hier regelmäßig ins forum reinschaust, bekommst du viel mit. Sollte in eine deiner Erweiterungen Probleme bekannt werden, dann ist hier die Chance groß, dass du es lesen kannst... Die Überschriften sagen ja oft einiges schon aus....

    - Hier  ist eine Seite, wo auch fehlerhafte Erweiterungen bekanntgegeben werden. Da kann man auch melden... (Ohne Garantie)

    Zitat von Rosi

    ch bekam eine Mail von website-bereinigung.de

    Bei unaufgefordert eingegangenen Mails überlege ich immer zuerst, ob es kein Betrugsversuch ist.
    Die behaupten einfach was ins Blaue hinein, im Wissen, dass mindestens die Hälfte der Empfänger darauf reinfallen und die Bereinigung bei ihnen buchen.

    Das sieht für mich fast so aus.
    Also Ablage P.

    Zitat von bemerkenswelt

    Bei unaufgefordert eingegangenen Mails überlege ich immer zuerst, ob es kein Betrugsversuch ist.
    Die behaupten einfach was ins Blaue hinein, im Wissen, dass mindestens die Hälfte der Empfänger darauf reinfallen und die Bereinigung bei ihnen buchen.

    Das sieht für mich fast so aus.

    "website-bereinigung.de" befindet sich unter Dienstleister. Er hatte hier im Forum geschrieben, dass er für das schwere Sicherheitsproblem des Astroid Framework E-Mails gesendet hatte.

    website-bereinigung.de
    Finden Sie über 50 professionelle Joomla-Dienstleister aus Deutschland, Österreich und der Schweiz – das offizielle Verzeichnis für Agenturen, Freelancer und…
    www.joomla.de

    Hmm..... ich hatte jedenfalls keine info im Backend, dass eine Erweiterung o.ä. upzudaten wäre.

    das hat mich ein wenig stutzig gemacht.

    Nachdem ich dann gesehen hab, dass das tasso Framework bei mir deaktiviert war dachte ich, dass ich es dann auch entfernen kann. Das wäre dann ja kein Schaden.

    Zumal in der Mail der Hinweis war, dass dieses Framework ggf noch da sei, auch wenn die ursprüngliche Erweiterung bereits entfernt wurde. (so wie bei mir wohl)

    Nachdem ich Website-bereinigung.de mal gegoogelt und aufgerufen hatte, empfand ich die Seite und die Mail als recht seriös.

    und vor allem auch als tollen Service...

    Hier eine Übersicht der betroffenen Erweiterungen (Das Framework nutzen ja mehrere Erweiterungen).

    Security Update: Tassos Framework Patch Released
    On January 7th, 2026, an independent security researcher, p1r0x, working with SSD Secure Disclosure, responsibly reported a vulnerability in the Tasso
    www.tassos.gr

    Hier das "CVE-2026-21627 - Extension - tassos.gr - SQL injection and Unauthenticated File Read in Novarain/Tassos Framework v4.10.14 – v6.0.37 for Joomla":

    CVE-2026-21627 - Vulnerability Details - OpenCVE

    Auch hier ist die joomlaeigene Komponente com_ajax involviert. Wenn man die als Entwickler nutzt, muss man eben auch prüfen, dass der Nutzende die entsprechenden Nutzerrechte hat.

    Zitat von JoomlaWunder

    Das Framework dürfte dann 6.0.72 sein. Dann wäre alles in Ordnung. Überprüfe das mal!

    Das überfordert mich etwas. Wie überprüfe ich ein Framework?
    Bei den Komponenten steht: "Convert Forms v5.1.4 Free"

    Wenn ich nach Tassos suche:
    Also habe ich es schon gefunden:

    Dass bei den anderen Erweiterungen die irgendwas mit convert heißen 1.0 steht irritiert mich halt.

    Ich hatte mal die Google Structured Data installiert, sonst bisher noch nichts von tasso.

    Nach der Deinstallation der Erweiterung ist das tasso Framework übrigens geblieben, allerdings deaktiviert.

    Deshalb wohl hab ich nix von der Sicherheitlücke mitbekommen und auch im Backend kein Anzeichen gesehen.

    Deshalb erstmal vielen lieben Dank an website-bereinigung.de für die Infomail <3

    Werde jetzt mal weitersuchen und hoffen, dass nicht noch mehr Löcher auftauchen....

    WM-Loose Zu Tassos´ Framework: Das Datum von 2016 ist offensichtlich das Datum der Erstveröffentlichung des Frameworks. Die Version 6.0.72 ist brandneu; die Korrektur für die Sicherheitslücke ist in der Version 6.0.62 bereits enthalten.

    Rosi Tassos benutzt das Framework in allen seinen Erweiterungen. D.h. es kommt mit jeder seiner Erweiterungen mit, wird aber nur einmal installiert. Wenn also eine (von mehreren) seiner Erweiterungen deinstalliert wird, kann er das Framework nicht mit deinstallieren, da dann ja seine anderen Erweiterungen nicht mehr funktionieren würden. Es lässt sich aber sicher manuell deinstallieren, wenn es nicht mehr benötigt wird (weil keine von Tassos´ Erweiterungen mehr benutzt werden).

    Freundliche Grüße aus Wächtersbach, Rolf Dautrich