2026年7月7日,美国网络安全与基础设施安全局(CISA)做出罕见动作——一次性将4个安全漏洞列入其"已知利用漏洞"(KEV)目录,其中2个直接指向Joomla生态系统的页面构建器扩展。不到72小时后,新加坡网络安全局(CSA)也发布了全国性安全警报。这不是演习,你的网站可能已经出事。
发生了什么?
事情要从6月下旬说起。Joomla安全团队陆续收到了关于两个流行页面构建器扩展存...
10
2026年7月9日,JoomShaper 在其官网发布了一则简短但分量极重的公告:正式终止对所有产品的 Joomla 3 版本提供技术支持,包括安全补丁。公告中最引人注目的一句话是:"无论漏洞严重程度如何,均不提供安全补丁。"(No security patches, regardless of severity.)
这意味着,即便未来在 Joomla 3 版本的 SP Page Builder 或 Helix 框架中发现 CVSS 10.0 的远程代码执行漏...
14
2026年7月7日,对Joomla用户而言是一个值得高度关注的安全日。这一天发生了两件大事:Joomla项目组发布了6.1.2和5.4.7紧急安全更新,修复了核心框架中的API权限提升漏洞;几乎同时,美国网络安全与基础设施安全局(CISA)将两个Page Builder扩展的远程代码执行漏洞列入了已知被利用漏洞目录(KEV)。本文将逐一解析这些漏洞的技术细节,并给出实操建议。
核心漏洞:CVE-202...
26
Joomla 4.0 就悄悄引入了一项可能改变我们登录方式的基础能力——基于 W3C WebAuthn 标准的无密码登录。但多年来,这项功能被包裹在一个"W3C Web Authentication (WebAuthn) Login"的晦涩名称里,绝大多数站长看都不敢看一眼,更别提启用了。
直到 Nicholas K. Dionysopoulos(这项功能的原始开发者)提交了一个 Issue(#41077),只做了一件事:把名字改成大家都能听懂的 Pa...
54
一、事件背景:从安全公告到CISA紧急警告
2026年6月16日,美国网络安全与基础设施安全局(CISA)将Joomla内容编辑器(JCE)的一个访问控制漏洞——CVE-2026-48907——正式添加到其"已知被利用漏洞"(Known Exploited Vulnerabilities,KEV)目录中。这意味着该漏洞并非理论风险,而是已经在大规模真实攻击中被武器化使用。
回顾时间线:6月3日,JCE团队发布2.9.99.5版本,修复...
64
一次"不写代码"的冲刺
2026年6月6日,当大多数人还在享受周末时,Joomla维护团队进行了一次特殊的集中冲刺。这次冲刺的目标不是添加新功能,不是修复Bug,而是——删除代码。
听起来反直觉?但这次行动恰恰是Joomla 7.0开发征程的第一个里程碑。
9位核心维护者(包括多位前发布经理和生产部门负责人)聚集在一起,用一整天的时间集中清理了Joomla核心代码库中积压多年的"技...
75
2026年6月23日,Joomla项目正式发布了Joomla 6.2 Alpha 2。这是继5月26日Alpha 1之后,6.2开发周期的第二个测试版本。虽然Alpha版本仅供测试、不可用于生产环境,但每一次Alpha发布都为最终稳定版(预计2026年10月13日)描绘出越来越清晰的轮廓。
Alpha 2带来了什么?13项变更逐一解读
与Alpha 1激进的23项PR相比,Alpha 2显得更为克制——共合并了13个Pull Request,涵盖后...
151
一、引言:补丁不是终点
2026年6月,Joomla生态经历了一场"地震级"安全事件——流行编辑器扩展JCE(Joomla Content Editor)的高危漏洞CVE-2026-48907被大规模利用,CISA将其列入已知被利用漏洞(KEV)目录。虽然JCE团队迅速发布了2.9.99.7修复版本,但许多Joomla站长陷入了一个危险的误区:"更新JCE到最新版就万事大吉了"。
英国Joomla维护服务商JoomTeam近日发布了一份详...
120
2026年6月8日,维也纳HTL Rennweg技术学院的一间教室里,一群Web开发专业的学生正在完成一项特殊的任务——他们成为了全球首批体验Joomla全新技能凭证系统的学习者。这标志着Joomla社区在沉寂多年后,正式重启了其认证体系建设。
Joomla认证:一段被中断的历史
老Joomla用户可能还记得,社区曾经有过一个官方认证项目——Joomla Certification Program(JCP)。该项目在2015年...
86
改变世界的一行命令:Joomla 6.2 的野心
Martin Kopp 在访谈中说了一句话,让我印象极深:"想象一下,你在聊天框里输入'清除我所有网站的缓存',然后它就自动执行了。"这不是科幻,而是 Joomla 6.2 正在实现的方向。
作为 Joomla 6.2 的两位发布经理之一,Martin Kopp 是瑞士苏黎世的一名 30 年 IT 老兵。他师从 Pascal 语言发明者 Niklaus Wirth,从汇编和 Modula-2 起步...
102
一、Joomla 全球社区的年度集结
2026 年 10 月 16 日至 18 日,Joomla 世界大会(Joomla World Conference,简称 JWC)将在德国波茨坦·柏林举行。这是自疫情以来 Joomla 社区最重要的一次线下盛会,也是全球 Joomla 开发者、设计师、网站管理员和开源爱好者不可错过的年度聚会。
作为一名长期与 Joomla 打交道的开发者,我认为这次大会的意义不仅在于社交和学习——更重要的...
96
一、事件背景:从安全公告到CISA紧急警告
2026年6月16日,美国网络安全与基础设施安全局(CISA)将Joomla内容编辑器(JCE)的一个访问控制漏洞——CVE-2026-48907——正式添加到其"已知被利用漏洞"(Known Exploited Vulnerabilities,KEV)目录中。这意味着该漏洞并非理论风险,而是已经在大规模真实攻击中被武器化使用。
回顾时间线:6月3日,JCE团队发布2.9.99.5版本,修复...
127



