Joomla 5.4.6 con parches de seguridad críticos que corrige 20 vulnerabilidades y decenas de errores
- 27 May 2026 01:15 AM
El proyecto Joomla ha lanzado la versión 5.4.6, una actualización de seguridad crítica para su serie estable. Disponible desde el 25 de mayo de 2026, este lanzamiento soluciona 20 vulnerabilidades documentadas (incluyendo XSS, inyección SQL, CSRF, bypass de MFA y LFI) y corrige más de 30 errores de estabilidad. Se recomienda a los administradores de sitios actualizar sus equipos de cómputo con carácter urgente.
Veinte vulnerabilidades de seguridad corregidas
La versión 5.4.6 es, ante todo, un lanzamiento de seguridad prioritario.
El equipo de desarrollo ha solucionado 20 vulnerabilidades que afectaban al núcleo del sistema y sus componentes, cubriendo un amplio espectro de vectores de ataque.
| CVE / ID | Componente Afectado | Tipo de Vulnerabilidad |
|---|---|---|
| [20260501] | Módulos de fuentes de noticias (feed modules) | XSS (Cross-Site Scripting) |
| [20260502] | Componente com_associations | XSS |
| [20260503] | Componente com_contenthistory | XSS |
| [20260504] | Enlaces «Leer más» (readmore) | XSS |
| [20260505] | Endpoint de activación de usuarios | CSRF (Cross-Site Request Forgery) |
| [20260506] | Componente com_finder | Inyección SQL ciega autenticada |
| [20260507] | Componente com_tags | Inyección SQL ciega autenticada |
| [20260508] | Endpoints web de com_config | Control de acceso insuficiente |
| [20260509] | Parámetro de layout en HTMLView | LFI (Local File Inclusion) |
| [20260510] | Endpoint web de com_media | Path traversal (salida de directorio) |
| [20260511] | Núcleo | Bypass de autenticación multifactor (MFA) |
| [20260512] | Núcleo | Bypass de autenticación multifactor (MFA) |
| [20260513] | Componente com_users (tareas batch) | Escalada de privilegios |
| [20260514] | Endpoints web de com_users | Escalada de privilegios |
| [20260515] | Plugins de datos de ejemplo (sample data) | Control de acceso incorrecto |
| [20260516] | Componente com_scheduler | Control de acceso incorrecto |
| [20260517] | Núcleo (InputFilter) | Construcción incorrecta de clave de caché |
| [20260518] | Núcleo (restablecimiento de contraseña) | Degradación del cifrado de transporte |
| [20260519] | Framework (checkAttribute) | Filtrado insuficiente de contenido |
| [20260520] | Framework (cleanAttributes) | Filtrado insuficiente de contenido |
Fuente: Joomla Security Center
Decenas de correcciones de errores y mejoras
Además de los parches de seguridad, Joomla 5.4.6 incorpora más de 30 correcciones de errores y mejoras de estabilidad.
La siguiente tabla resume las más relevantes:
| Área afectada | Corrección incluida |
|---|---|
| Campos personalizados | Se solucionó un error que impedía la carga correcta de campos personalizados de categorías. |
| Notificaciones por correo | Se corrigió un problema que mostraba un mensaje de error falso al guardar contenido, incluso cuando la notificación fallaba silenciosamente. |
| Actualizaciones automáticas | Se arregló la eliminación incorrecta del archivo de actualización después de completar la autoactualización del núcleo. |
| Campos de selección (Fancy Select) | Se mejoró la búsqueda por subcadenas y se aseguró que los valores preseleccionados se muestren correctamente. |
| Accesibilidad (a11y) | Múltiples correcciones: orden correcto de atributos aria-posinset, encabezados de columna faltantes, información de instalación de idiomas para lectores de pantalla, y mejora del contraste del botón de cierre en modo claro. |
| RTL (idiomas de derecha a izquierda) | Se corrigió la alineación de los menús desplegables en la barra de herramientas del administrador para idiomas RTL. |
| Editor TinyMCE | Se arregló la visibilidad de la barra de menús en modo de pantalla completa. |
| Filtros de calendario | Se corrigió el botón de limpieza que no restablecía correctamente los filtros de calendario. |
| Previsualización de versiones | Se solucionó la previsualización de versiones de artículos para usuarios con permisos de «Autor» (Authors). |
| Caché y depuración | Se corrigió un cierre inesperado del plugin de depuración al ejecutar «Query Explain» en solicitudes AJAX. |
| Conversión HTML a texto plano | Se corrigió el reemplazo de etiquetas al convertir el cuerpo HTML de correos a texto plano. |
PHP 8.4 y compatibilidad
Aunque Joomla 5.4.6 no incluye en sus notas de lanzamiento cambios específicos de PHP 8.4, el proyecto ha estado trabajando activamente en la compatibilidad con esta versión del lenguaje.
Se han identificado y están en proceso de solución varios avisos de obsolescencia (deprecation notices) relacionados con:
| Componente | Advertencia de obsolescencia |
|---|---|
Plugin sessiongc |
lcg_value() está obsoleto en PHP 8.4; usar Randomizer::getFloat() . |
| Actualizador (Update.php) | xml_set_object() y handlers XML obsoletos . |
| Adapter de extensiones | xml_set_object() y handlers XML en ExtensionAdapter.php . |
Modelo CaptiveModel |
strtotime(null) obsoleto en PHP 8.4 . |
Modelo BackupcodesModel |
Asignación de solo el primer byte al offset de cadena (PHP Warning) . |
El equipo de desarrollo recomienda PHP 8.3 como la versión más estable para Joomla 5.4.x, aunque se espera que la compatibilidad completa con PHP 8.4 se consolide en futuras versiones de mantenimiento.
Soporte y disponibilidad
Joomla 5.4.x es una serie de Soporte a Largo Plazo (LTS), con el siguiente calendario confirmado:
| Tipo de soporte | Fecha límite |
|---|---|
| Soporte de errores (bugfixes) | 13 de octubre de 2026 |
| Soporte de seguridad | 12 de octubre de 2027 |
Fuente: Joomla! Official Documentation
Para los usuarios que aún no han migrado a Joomla 6, esta serie 5.4.x representa la opción más estable y con soporte garantizado a largo plazo.
Disponibilidad y cómo actualizar
Joomla 5.4.6 ya está disponible para descarga e instalación a través de los métodos habituales:
-
Actualización automática: Desde el panel de administración de Joomla (Sistema → Actualizar).
-
Composer: Ejecutando
composer updateen la terminal del servidor. -
Descarga manual: Desde la página de lanzamientos oficial.
Recomendaciones antes de actualizar:
-
Realizar una copia de seguridad completa de la base de datos y los archivos del sitio.
-
Probar la actualización en un entorno de ensayo (staging) antes de aplicarla en producción.
-
Verificar la compatibilidad de las extensiones de terceros con Joomla 5.4.6.
Esta actualización es particularmente importante para administradores que gestionan sitios con múltiples usuarios, ya que las vulnerabilidades de XSS, inyección SQL y escalada de privilegios corregidas en esta versión representan un riesgo significativo en entornos colaborativos. Se recomienda aplicar la actualización con carácter prioritario.