Mastodon Mastodon Mastodon Mastodon

Две уязвимости максимальной критичности в расширениях Joomla активно эксплуатируются — CISA требует патчей за 3 дня

Фото автора

CyberSecureFox Editorial Team

Опубликовано:

Агентство CISA 10 июля 2026 года внесло в каталог KEV две уязвимости максимальной критичности — CVE-2026-48939 и CVE-2026-56291 — затрагивающие расширения iCagenda и Balbooa Forms для CMS Joomla. Обе уязвимости получили оценку CVSS 10.0, позволяют удалённое выполнение кода через загрузку произвольных файлов и уже эксплуатируются в автоматизированных атаках. Федеральным агентствам США (FCEB) установлен крайний срок устранения — 13 июля 2026 года, то есть всего три дня с момента публикации. Патчи доступны: владельцам сайтов на Joomla с этими расширениями необходимо обновиться немедленно и проверить серверы на наличие индикаторов компрометации.

Технический разбор уязвимостей

CVE-2026-48939 — iCagenda: выполнение кода через форму подачи событий

Уязвимость CVE-2026-48939 находится в функции прикрепления файлов формы «Submit an Event» расширения iCagenda. Компонент не выполняет надлежащей проверки типа загружаемого файла, что позволяет атакующему загрузить PHP-скрипт и выполнить произвольный код на сервере.

Затронутые версии:

  • Ветка 4.x — все версии до 4.0.7 включительно
  • Устаревшая ветка 3.x — версии с 3.2.1 по 3.9.14 включительно

По данным исследователей из mySites.guru, эксплуатация этой уязвимости в качестве zero-day наблюдалась с 15 июня 2026 года — почти за месяц до внесения в KEV. Атаки носили автоматизированный характер: в логах доступа одного из клиентов был зафиксирован сканер с User-Agent icagenda-batch/1.0, который получал токен, загружал вредоносный файл через эндпоинт формы, а затем обращался к установленному веб-шеллу по предсказуемому пути записи вложений. Стоит отметить, что эти детали цепочки атаки исходят от единственного стороннего источника и не подтверждены независимо, хотя само включение в каталог CISA KEV подтверждает факт активной эксплуатации.

Разработчик JoomliC выпустил исправления в версиях 4.0.8 и 3.9.15.

CVE-2026-56291 — Balbooa Forms: неаутентифицированное RCE

Уязвимость CVE-2026-56291 в расширении Balbooa Forms представляет собой, пожалуй, ещё более опасный случай. Как сообщают исследователи, до версии 2.4.0 включительно механизм загрузки вложений через фронтенд принимал файлы от любого анонимного посетителя — без авторизации, без CSRF-токена и без проверки типа файла. Атакующий мог загрузить PHP-файл в публичную директорию и выполнить его, что даёт полноценное неаутентифицированное удалённое выполнение кода.

Уязвимость была обнаружена 8 июля 2026 года в ходе реальной атаки на клиента mySites.guru. Исправление доступно в версии Balbooa Forms 2.4.1.

Индикаторы компрометации

Для обоих расширений опубликованы конкретные признаки, на которые следует обратить внимание:

  • iCagenda: проверить директорию images/icagenda/frontend/attachments/ на наличие подозрительных PHP-файлов
  • Balbooa Forms: проверить директорию images/baforms/uploads/ на наличие файлов, не являющихся изображениями или документами, особенно с расширением .php
  • Проверить список пользователей Joomla на наличие подозрительных учётных записей с правами администратора
  • Провести аудит недавно изменённых или незнакомых PHP-файлов по всему сайту
  • В логах доступа обратить внимание на User-Agent icagenda-batch/1.0

Глобальная кампания против CMS: предупреждение Австралии

Публикация CISA совпала по времени с предупреждением Австралийского центра кибербезопасности (ACSC) о масштабной глобальной кампании, направленной против систем управления контентом и их плагинов. По данным ACSC, злоумышленники активно сканируют веб-сайты для развёртывания веб-шеллов, используя уязвимости, связанные с загрузкой файлов без аутентификации, удалённым выполнением кода, подделкой серверных запросов (SSRF) и десериализацией.

В перечень эксплуатируемых уязвимостей входят недостатки в широком спектре продуктов:

ACSC подчеркнул, что достижения в области ИИ ускоряют скорость и масштаб кибератак, сокращая время между раскрытием уязвимости и началом её эксплуатации. Это наблюдение подтверждается хронологией рассматриваемых уязвимостей Joomla: CVE-2026-48939 эксплуатировалась как zero-day минимум 25 дней до появления патча.

Оценка воздействия

Обе уязвимости представляют критическую угрозу по нескольким причинам. Во-первых, они не требуют аутентификации — атакующему достаточно знать URL сайта с уязвимым расширением. Во-вторых, эксплуатация полностью автоматизирована, что означает массовое сканирование и компрометацию. В-третьих, Joomla остаётся одной из наиболее распространённых CMS, а iCagenda и Balbooa Forms — популярные расширения для сайтов мероприятий и форм обратной связи, включая ресурсы государственных учреждений, образовательных организаций и малого бизнеса.

Успешная эксплуатация приводит к установке веб-шелла, что даёт атакующему полный контроль над веб-сервером: от кражи данных и модификации контента до использования сервера как плацдарма для дальнейших атак на внутреннюю инфраструктуру.

Рекомендации по реагированию

  1. Немедленно обновить iCagenda до версии 4.0.8 (или 3.9.15 для устаревшей ветки) и Balbooa Forms до версии 2.4.1
  2. Проверить файловую систему по указанным путям на наличие PHP-файлов, которых не должно быть в директориях вложений
  3. Провести аудит учётных записей Joomla — удалить незнакомые аккаунты с правами администратора
  4. Проанализировать логи веб-сервера на предмет подозрительных запросов к эндпоинтам загрузки файлов и обращений к нетипичным PHP-файлам в директориях вложений
  5. При обнаружении признаков компрометации — считать сервер скомпрометированным: провести полное расследование, сменить все учётные данные и проверить целостность файлов CMS
  6. Если обновление невозможно немедленно — отключить функции загрузки файлов в обоих расширениях или временно деактивировать их

Трёхдневный срок, установленный CISA для федеральных агентств, отражает исключительную серьёзность ситуации: обе уязвимости имеют максимальный балл CVSS, тривиально эксплуатируются и уже используются в массовых автоматизированных атаках. Владельцам сайтов на Joomla с расширениями iCagenda или Balbooa Forms следует рассматривать обновление как задачу с наивысшим приоритетом — каждый час промедления увеличивает вероятность компрометации.


CyberSecureFox Editorial Team

Редакция CyberSecureFox освещает новости кибербезопасности, уязвимости, malware-кампании, ransomware-активность, AI security, cloud security и security advisories вендоров. Материалы готовятся на основе official advisories, данных CVE/NVD, уведомлений CISA, публикаций вендоров и открытых отчётов исследователей. Статьи проверяются перед публикацией и обновляются при появлении новых данных.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.