Агентство CISA 10 июля 2026 года внесло в каталог KEV две уязвимости максимальной критичности — CVE-2026-48939 и CVE-2026-56291 — затрагивающие расширения iCagenda и Balbooa Forms для CMS Joomla. Обе уязвимости получили оценку CVSS 10.0, позволяют удалённое выполнение кода через загрузку произвольных файлов и уже эксплуатируются в автоматизированных атаках. Федеральным агентствам США (FCEB) установлен крайний срок устранения — 13 июля 2026 года, то есть всего три дня с момента публикации. Патчи доступны: владельцам сайтов на Joomla с этими расширениями необходимо обновиться немедленно и проверить серверы на наличие индикаторов компрометации.
Технический разбор уязвимостей
CVE-2026-48939 — iCagenda: выполнение кода через форму подачи событий
Уязвимость CVE-2026-48939 находится в функции прикрепления файлов формы «Submit an Event» расширения iCagenda. Компонент не выполняет надлежащей проверки типа загружаемого файла, что позволяет атакующему загрузить PHP-скрипт и выполнить произвольный код на сервере.
Затронутые версии:
- Ветка 4.x — все версии до 4.0.7 включительно
- Устаревшая ветка 3.x — версии с 3.2.1 по 3.9.14 включительно
По данным исследователей из mySites.guru, эксплуатация этой уязвимости в качестве zero-day наблюдалась с 15 июня 2026 года — почти за месяц до внесения в KEV. Атаки носили автоматизированный характер: в логах доступа одного из клиентов был зафиксирован сканер с User-Agent icagenda-batch/1.0, который получал токен, загружал вредоносный файл через эндпоинт формы, а затем обращался к установленному веб-шеллу по предсказуемому пути записи вложений. Стоит отметить, что эти детали цепочки атаки исходят от единственного стороннего источника и не подтверждены независимо, хотя само включение в каталог CISA KEV подтверждает факт активной эксплуатации.
Разработчик JoomliC выпустил исправления в версиях 4.0.8 и 3.9.15.
CVE-2026-56291 — Balbooa Forms: неаутентифицированное RCE
Уязвимость CVE-2026-56291 в расширении Balbooa Forms представляет собой, пожалуй, ещё более опасный случай. Как сообщают исследователи, до версии 2.4.0 включительно механизм загрузки вложений через фронтенд принимал файлы от любого анонимного посетителя — без авторизации, без CSRF-токена и без проверки типа файла. Атакующий мог загрузить PHP-файл в публичную директорию и выполнить его, что даёт полноценное неаутентифицированное удалённое выполнение кода.
Уязвимость была обнаружена 8 июля 2026 года в ходе реальной атаки на клиента mySites.guru. Исправление доступно в версии Balbooa Forms 2.4.1.
Индикаторы компрометации
Для обоих расширений опубликованы конкретные признаки, на которые следует обратить внимание:
- iCagenda: проверить директорию
images/icagenda/frontend/attachments/на наличие подозрительных PHP-файлов - Balbooa Forms: проверить директорию
images/baforms/uploads/на наличие файлов, не являющихся изображениями или документами, особенно с расширением .php - Проверить список пользователей Joomla на наличие подозрительных учётных записей с правами администратора
- Провести аудит недавно изменённых или незнакомых PHP-файлов по всему сайту
- В логах доступа обратить внимание на User-Agent
icagenda-batch/1.0
Глобальная кампания против CMS: предупреждение Австралии
Публикация CISA совпала по времени с предупреждением Австралийского центра кибербезопасности (ACSC) о масштабной глобальной кампании, направленной против систем управления контентом и их плагинов. По данным ACSC, злоумышленники активно сканируют веб-сайты для развёртывания веб-шеллов, используя уязвимости, связанные с загрузкой файлов без аутентификации, удалённым выполнением кода, подделкой серверных запросов (SSRF) и десериализацией.
В перечень эксплуатируемых уязвимостей входят недостатки в широком спектре продуктов:
- Sneeit Framework (CVE-2025-6389)
- WPBookit для WordPress (CVE-2025-7852)
- Gravity Forms для WordPress (CVE-2025-12352)
- Craft CMS (CVE-2025-32432)
- Ninja Forms, MaxSite CMS, Breeze Cache, WavePlayer, MetInfo CMS, Joomla JCE
ACSC подчеркнул, что достижения в области ИИ ускоряют скорость и масштаб кибератак, сокращая время между раскрытием уязвимости и началом её эксплуатации. Это наблюдение подтверждается хронологией рассматриваемых уязвимостей Joomla: CVE-2026-48939 эксплуатировалась как zero-day минимум 25 дней до появления патча.
Оценка воздействия
Обе уязвимости представляют критическую угрозу по нескольким причинам. Во-первых, они не требуют аутентификации — атакующему достаточно знать URL сайта с уязвимым расширением. Во-вторых, эксплуатация полностью автоматизирована, что означает массовое сканирование и компрометацию. В-третьих, Joomla остаётся одной из наиболее распространённых CMS, а iCagenda и Balbooa Forms — популярные расширения для сайтов мероприятий и форм обратной связи, включая ресурсы государственных учреждений, образовательных организаций и малого бизнеса.
Успешная эксплуатация приводит к установке веб-шелла, что даёт атакующему полный контроль над веб-сервером: от кражи данных и модификации контента до использования сервера как плацдарма для дальнейших атак на внутреннюю инфраструктуру.
Рекомендации по реагированию
- Немедленно обновить iCagenda до версии 4.0.8 (или 3.9.15 для устаревшей ветки) и Balbooa Forms до версии 2.4.1
- Проверить файловую систему по указанным путям на наличие PHP-файлов, которых не должно быть в директориях вложений
- Провести аудит учётных записей Joomla — удалить незнакомые аккаунты с правами администратора
- Проанализировать логи веб-сервера на предмет подозрительных запросов к эндпоинтам загрузки файлов и обращений к нетипичным PHP-файлам в директориях вложений
- При обнаружении признаков компрометации — считать сервер скомпрометированным: провести полное расследование, сменить все учётные данные и проверить целостность файлов CMS
- Если обновление невозможно немедленно — отключить функции загрузки файлов в обоих расширениях или временно деактивировать их
Трёхдневный срок, установленный CISA для федеральных агентств, отражает исключительную серьёзность ситуации: обе уязвимости имеют максимальный балл CVSS, тривиально эксплуатируются и уже используются в массовых автоматизированных атаках. Владельцам сайтов на Joomla с расширениями iCagenda или Balbooa Forms следует рассматривать обновление как задачу с наивысшим приоритетом — каждый час промедления увеличивает вероятность компрометации.