Wat is er gepatcht?

Hieronder een overzicht van de zes kwetsbaarheden, met hun CVE-nummer en impactbeoordeling.

  • CVE-2026-21629 — ACL-probleem in com_ajax (impact: laag) De ajax-component miste de standaard inlogincheck in de beheerdersomgeving. Extensies die op com_ajax steunen zonder zelf een toegangscontrole in te bouwen, waren daardoor onbedoeld kwetsbaar. Deze kwetsbaarheid gaat terug tot Joomla 3.0.
  • CVE-2026-21630 — SQL-injectie in het articles-webservice-endpoint (impact: hoog) Slecht opgebouwde ORDER BY-clausules in het artikelen-endpoint van de Joomla API lieten SQL-injectie toe. SQL-injectie is één van de ernstigste soorten kwetsbaarheden: een aanvaller kan hiermee databaseinhoud uitlezen of manipuleren. Treft Joomla 4.0 en hoger.
  • CVE-2026-21631 — XSS in de meertalige koppelingsweergave (impact: matig) In de vergelijkingsweergave van com_associations ontbrak outputescaping. Daardoor kon een aanvaller kwaadaardige scripts injecteren die uitgevoerd worden in de browser van een beheerder. Treft Joomla 4.0 en hoger.
  • CVE-2026-21632 — XSS via artikeltitels (impact: matig) Artikeltitels werden op meerdere plaatsen in de interface zonder escaping weergegeven. Ook hier is het risico dat een kwaadwillige gebruiker met bewerkrechten scripts kan injecteren. Treft Joomla 4.0 en hoger.
  • CVE-2026-23898 — Willekeurige bestandsverwijdering via com_joomlaupdate (impact: hoog) Onvoldoende inputvalidatie in het autoupdate-mechanisme maakte het mogelijk om willekeurige bestanden te verwijderen. Een aanvaller met de juiste rechten kon hiermee de werking van een site ernstig verstoren. Treft Joomla 4.0 en hoger.
  • CVE-2026-23899 — Onjuiste toegangscontrole in webservice-endpoints (impact: hoog) Door een gebrekkige toegangscheck konden webservice-endpoints benaderd worden door gebruikers zonder de juiste rechten. Dit raakt direct aan de beveiliging van de Joomla API. Treft Joomla 4.0 en hoger.

Wat als je nog op Joomla 3 of 4 zit?

Vijf van de zes kwetsbaarheden gaan terug tot Joomla 4. Eén zelfs tot Joomla 3.0. Officiële patches voor die versies komen er niet meer: Joomla 3 en Joomla 4 zijn beide end-of-life. De kwetsbaarheden blijven dus.

Dat betekent niet dat er morgen iets misgaat — maar je site is wel kwetsbaar, en dat risico neemt toe naarmate kwetsbaarheden publiek bekend worden en misbruikt worden in geautomatiseerde aanvallen.

Wat moet je doen?

Joomla 6

Zit je op Joomla 6? Update naar 6.0.4 via Systeem → Joomla Update. Dat volstaat om alle zes kwetsbaarheden te dichten.

Joomla 5

Zit je op Joomla 5? Update naar 5.4.4 via Systeem → Joomla Update. Ook hier dicht je met deze update alle zes kwetsbaarheden. Een upgrade naar Joomla 6 is technisch complexer — dat is geen must op dit moment, maar loont wel om op termijn te plannen.

Joomla 4

Zit je op Joomla 4? Die versie is end-of-life en krijgt geen officiële patches meer. De upgrade naar Joomla 5 werkt in de praktijk in zo goed als alle gevallen probleemloos — zet die stap gerust, nadat je een backup hebt genomen van je website.

Joomla 3

Zit je nog op Joomla 3? Dan is de situatie urgenter. Ook Joomla 3 is end-of-life, en de stap naar een ondersteunde versie is groter. Toch is er een duidelijk pad — neem contact op, dan bekijken we samen de meest realistische aanpak.