Die Behörde CISA hat am 10. Juli 2026 zwei Schwachstellen mit maximaler Kritikalität – CVE-2026-48939 und CVE-2026-56291 – in den KEV-Katalog aufgenommen, die die Erweiterungen iCagenda und Balbooa Forms für die CMS Joomla betreffen. Beide Schwachstellen erhielten einen CVSS-Score von 10,0, ermöglichen Remote Code Execution (RCE) durch den Upload beliebiger Dateien und werden bereits in automatisierten Angriffen ausgenutzt. Für US-Bundesbehörden (FCEB) wurde eine Frist zur Behebung bis zum 13. Juli 2026 festgelegt, also nur drei Tage nach der Veröffentlichung. Patches sind verfügbar: Betreiber von Joomla-Websites mit diesen Erweiterungen müssen sofort aktualisieren und die Server auf Indikatoren einer Kompromittierung prüfen.
Technische Analyse der Schwachstellen
CVE-2026-48939 — iCagenda: Codeausführung über Formular zur Ereigniseinreichung
Die Schwachstelle CVE-2026-48939 befindet sich in der Funktion zum Anhängen von Dateien des Formulars „Submit an Event“ der Erweiterung iCagenda. Die Komponente führt keine angemessene Prüfung des Typs der hochgeladenen Datei durch, wodurch ein Angreifer ein PHP-Skript hochladen und beliebigen Code auf dem Server ausführen kann.
Betroffene Versionen:
- 4.x-Zweig – alle Versionen bis einschließlich 4.0.7
- Veralteter 3.x-Zweig – Versionen von 3.2.1 bis einschließlich 3.9.14
Nach Angaben der Forscher von mySites.guru wurde die Ausnutzung dieser Schwachstelle als Zero-Day seit dem 15. Juni 2026 beobachtet – fast einen Monat vor der Aufnahme in den KEV-Katalog. Die Angriffe waren automatisiert: In den Access-Logs eines Kunden wurde ein Scanner mit dem User-Agent icagenda-batch/1.0 aufgezeichnet, der zunächst ein Token bezog, anschließend über den Formular-Endpunkt eine Schaddatei hochlud und danach den installierten Webshell über einen vorhersagbaren Pfad für Anhänge aufrief. Es ist anzumerken, dass diese Details der Angriffskette von einer einzigen externen Quelle stammen und bislang nicht unabhängig bestätigt wurden, wobei allerdings bereits die Aufnahme in den CISA-KEV-Katalog die Tatsache der aktiven Ausnutzung belegt.
Der Entwickler JoomliC hat Patches veröffentlicht in den Versionen 4.0.8 und 3.9.15.
CVE-2026-56291 — Balbooa Forms: nicht authentifizierte RCE
Die Schwachstelle CVE-2026-56291 in der Erweiterung Balbooa Forms stellt womöglich einen noch gefährlicheren Fall dar. Nach Angaben der Forscher akzeptierte der Mechanismus zum Hochladen von Anhängen über das Frontend bis einschließlich Version 2.4.0 Dateien von jedem anonymen Besucher – ohne Authentifizierung, ohne CSRF-Token und ohne Prüfung des Dateityps. Ein Angreifer konnte eine PHP-Datei in ein öffentliches Verzeichnis hochladen und ausführen, was eine vollwertige nicht authentifizierte Remote Code Execution (RCE) ermöglicht.
Die Schwachstelle wurde am 8. Juli 2026 im Zuge eines realen Angriffs auf einen Kunden von mySites.guru entdeckt. Ein Patch ist in der Version Balbooa Forms 2.4.1 verfügbar.
Indikatoren einer Kompromittierung
Für beide Erweiterungen wurden konkrete Anzeichen veröffentlicht, auf die geachtet werden sollte:
- iCagenda: Überprüfen Sie das Verzeichnis
images/icagenda/frontend/attachments/auf verdächtige PHP-Dateien - Balbooa Forms: Überprüfen Sie das Verzeichnis
images/baforms/uploads/auf Dateien, die keine Bilder oder Dokumente sind, insbesondere mit der Endung .php - Prüfen Sie die Joomla-Benutzerliste auf verdächtige Konten mit Administratorrechten
- Führen Sie ein Audit kürzlich geänderter oder unbekannter PHP-Dateien auf der gesamten Website durch
- Achten Sie in den Access-Logs auf den User-Agent
icagenda-batch/1.0
Globale Kampagne gegen CMS: Warnung aus Australien
Die Veröffentlichung von CISA fiel zeitlich zusammen mit einer Warnung des Australian Cyber Security Centre (ACSC) vor einer groß angelegten globalen Kampagne, die auf Content-Management-Systeme und deren Plugins abzielt. Nach Angaben des ACSC scannen Angreifer aktiv Websites, um Webshells zu platzieren, und nutzen dabei Schwachstellen im Zusammenhang mit Dateiuploads ohne Authentifizierung, Remote Code Execution, Server-Side Request Forgery (SSRF) und Deserialisierung aus.
Zu den ausgenutzten Schwachstellen gehören Lücken in einer breiten Palette von Produkten:
- Sneeit Framework (CVE-2025-6389)
- WPBookit für WordPress (CVE-2025-7852)
- Gravity Forms für WordPress (CVE-2025-12352)
- Craft CMS (CVE-2025-32432)
- Ninja Forms, MaxSite CMS, Breeze Cache, WavePlayer, MetInfo CMS, Joomla JCE
ACSC hob hervor, dass Fortschritte im Bereich KI die Geschwindigkeit und den Umfang von Cyberangriffen steigern und die Zeitspanne zwischen der Offenlegung einer Schwachstelle und ihrem Beginn der Ausnutzung verkürzen. Diese Beobachtung wird durch die Chronologie der hier betrachteten Joomla-Schwachstellen untermauert: CVE-2026-48939 wurde mindestens 25 Tage lang als Zero-Day ausgenutzt, bevor ein Patch erschien.
Bewertung der Auswirkungen
Beide Schwachstellen stellen aus mehreren Gründen eine kritische Bedrohung dar. Erstens erfordern sie keine Authentifizierung – für einen Angriff genügt es, die URL einer Website mit der verwundbaren Erweiterung zu kennen. Zweitens ist die Ausnutzung vollständig automatisiert, was massenhaftes Scannen und Kompromittieren ermöglicht. Drittens gehört Joomla weiterhin zu den am weitesten verbreiteten CMS, und iCagenda sowie Balbooa Forms sind beliebte Erweiterungen für Veranstaltungsseiten und Kontaktformulare – auch bei Webauftritten von Behörden, Bildungseinrichtungen und kleinen Unternehmen.
Eine erfolgreiche Ausnutzung führt zur Installation eines Webshells und verschafft Angreifern damit die vollständige Kontrolle über den Webserver: von Datendiebstahl und Content-Manipulation bis hin zur Nutzung des Servers als Ausgangspunkt für weitere Angriffe auf die interne Infrastruktur.
Empfehlungen zur Reaktion
- Sofort aktualisieren: iCagenda auf Version 4.0.8 (oder 3.9.15 für den veralteten Zweig) und Balbooa Forms auf Version 2.4.1
- Dateisystem prüfen an den genannten Pfaden auf PHP-Dateien, die in den Anhängeverzeichnissen nicht vorhanden sein sollten
- Joomla-Konten auditieren – unbekannte Konten mit Administratorrechten entfernen
- Webserver-Logs analysieren auf verdächtige Anfragen an File-Upload-Endpunkte und Aufrufe ungewöhnlicher PHP-Dateien in Anhängeverzeichnissen
- Bei Anzeichen einer Kompromittierung den Server als kompromittiert betrachten: eine vollständige Untersuchung durchführen, alle Zugangsdaten ändern und die Integrität der CMS-Dateien überprüfen
- Falls ein sofortiges Update nicht möglich ist – Upload-Funktionen für Dateien deaktivieren in beiden Erweiterungen oder diese vorübergehend deaktivieren
Die von CISA gesetzte Dreitagesfrist für Bundesbehörden verdeutlicht die außergewöhnliche Ernsthaftigkeit der Lage: Beide Schwachstellen haben den maximalen CVSS-Score, lassen sich trivial ausnutzen und werden bereits in massenhaften automatisierten Angriffen eingesetzt. Betreiber von Joomla-Websites mit den Erweiterungen iCagenda oder Balbooa Forms sollten das Update als Aufgabe mit höchster Priorität behandeln – jede Stunde des Zögerns erhöht die Wahrscheinlichkeit einer Kompromittierung.