Joomla 5.3.4 und Joomla 4.4.14 – Sicherheits-Release

: Kategorie: Web; 27. November 2025; 3.565
ca. 3 Minuten

Am 30. September 2025 sind Version Joomla 5.3.4 und Joomla 4.4.14 erschienen.
Es ist ein Sicherheits-Release, das neben Sicherheitskorrekturen auch Fehlerbehebungen und Verbesserungen enthält.
In diesem Beitrag erfahren Sie, welche Schwachstellen das Update beseitigt – und was in Joomla 5.3.4 neu ist bzw. verbessert wurde.

Joomla! 5.3.4 und 4.4.14 - Sicherheitskorrekturen

Folgende Probleme werden durch ein Update auf 5.3.4 bzw. 4.4.14 behoben:

Sicherheitslücke im checkAttribute-Filter entdeckt, über die Angreifer potenziell schädlichen Code einschleusen können (XSS).
> zu den Details [20250901]
Schwachstelle, durch die Angreifer über die Passkey-Authentifizierung Benutzernamen erkennen können (User Enumeration).
> zu den Details [20250902]

Joomla 5.3.4 - Was ist neu und besser?

Icon für „Sonstige Informationen“ im Kontaktbereich wurde wieder auf das Info-Icon geändert.
Das Feld zeigt wieder das Info-Icon (i) statt eines Home-Icons; die Zuordnung ist damit eindeutig und sorgt für weniger Verwechslung mit "Adresse/Website".
Tippfehler bei deploy_version in com_scheduler wurde korrigiert.
Im LogModel des Schedulers stand fälschlicherweise __DPELOY_VERSION__; das wurde auf die tatsächlich ausgelieferte Version 5.3.0 angepasst.
Fehlende Copyright-Hinweise in Media-Assets wurden behoben.
Hintergrund: Beim CSS-Build gingen Lizenz-Header (rechtliche Hinweise) verloren.
DELETE soll 204 zurückgeben, wenn ein Eintrag nicht existiert.
Bisher lieferte die API beim Löschen eines nicht vorhandenen Objekts einen 500 Internal Server Error. Der Fix stellt das erwartete Verhalten her: Wenn die API etwas löschen soll, das schon weg ist, antwortet Joomla jetzt mit 204 No Content. Nur wenn die ID/URL falsch ist, kommt ein 404 Not Found (statt früher fälschlicherweise 500).
Wiederhergestellte Artikelversion wird jetzt dem aktuellen Benutzer zugeordnet (ausgecheckt).
Wenn Sie eine ältere Version eines Artikels wiederhergestellt haben, blieb der Artikel fälschlich für den ursprünglichen Autor „ausgecheckt“ – Sie sahen dann nur „Als Kopie speichern“.
Jetzt: Nach dem Restore gehört der Checkout Ihnen – „Speichern“ und „Speichern & Schließen“ sind sofort verfügbar.
HTTP-Status-Header für XML/Feed-Antworten setzen.
Bisher konnten Feed-URLs bei Fehlern zwar ein XML mit <code>404</code> liefern, der HTTP-Status war aber 200. Der Patch setzt jetzt den korrekten HTTP-Status (z. B. 404) auch im Header – analog zu JSON-Fehlerseiten.
TinyMCE von 6.8.5 auf 6.8.6 aktualisiert, um ein Cursor-Problem zu beheben.
Hintergrund: Beim Einfügen von Inhalt vor <br>, <img> oder <table> landete der Cursor teils an der falschen Stelle.
Joomla-Dialoge unterstützen jetzt aria-label (und aria-labelledby).
Beim Öffnen eines Dialogs können Sie ein "sprechendes Label" (=Text, der sagt, was passiert) setzen. Wenn Sie keins angeben, erzeugt Joomla automatisch eines – in der Regel aus dem Dialogtitel. Das verbessert die Barrierefreiheit (für Screenreader).
Prüfen, ob Felder in der Versionierung existieren, bevor sie verwendet werden.
Joomla prüft jetzt vor dem Wiederherstellen, ob die nötigen Felder (checked_out, checked_out_time) in der Erweiterung vorhanden sind. Fehlen sie oder heißen anders, gibt es keine Fehlermeldungen mehr.
joomla/filesystem aktualisiert;
damit Erweiterungs-Uploads funktionieren, wenn post_max_size = 0 ist.
Auf Servern mit post_max_size = 0 (unbegrenzt) blockierte Joomla fälschlicherweise den Upload von Extensions mit „The selected file cannot be uploaded…“. Das Update hebt das Framework-Paket von 3.1.0 → 3.1.3 an und behebt den Fehler (Upload & Installation laufen wieder durch).
Das Header-Handling in den HTTP-Transportklassen wurde so angepasst,
dass Header auch als Arrays (mehrere Werte) unterstützt werden.
Hintergurnd: Manche Header kommen mehrfach vor (z. B. Set-Cookie, Accept). Die Joomla-Transporte (Curl/Socket/Stream) akzeptieren diese jetzt als Array und senden sie korrekt.
Composer-Update: joomla/oauth2 auf 3.0.2,
um ein Problem mit Groß/Kleinschreibung bei der OAuth2-Client-Authentifizierung zu beheben.
Hintergrund: Bei einigen Providern schlug der Login fehl, wenn der HTTP-Header Content-Type in kleiner Schreibweise geliefert wurde.
Die Library prüft den Header jetzt case-insensitive.
Sicherheits-Updates für Abhängigkeiten.
Joomla hat externe Pakete (Composer & NPM) aktualisiert, um bekannte Sicherheitslücken zu schließen.
Das senkt die Audit-Warnungen (ohne sichtbare Änderungen im Backend/Frontend).
Ein paar Hinweise bleiben offen (u. a. WebAuthn-Lib, TinyMCE < 7); für TinyMCE wäre ein großes Update nötig und ist hier nicht enthalten.