Mastodon Mastodon Mastodon Mastodon

Як експлуатують вразливості типу RCE в розширеннях Joomla iCagenda та Balbooa Forms

Photo of author

CyberSecureFox Editorial Team

Опубліковано:

Агентство CISA 10 липня 2026 року внесло до каталогу KEV дві вразливості максимального рівня критичності — CVE-2026-48939 і CVE-2026-56291, які стосуються розширень iCagenda та Balbooa Forms для CMS Joomla. Обом вразливостям присвоєно оцінку CVSS 10.0, вони дають змогу віддалено виконувати код через завантаження довільних файлів і вже експлуатуються в автоматизованих атаках. Для федеральних агентств США (FCEB) встановлено граничний термін усунення — 13 липня 2026 року, тобто всього три дні з моменту публікації. Патчі доступні: власникам сайтів на Joomla з цими розширеннями необхідно оновитися негайно й перевірити сервери на наявність індикаторів компрометації.

Технічний розбір вразливостей

CVE-2026-48939 — iCagenda: виконання коду через форму подання подій

Вразливість CVE-2026-48939 міститься у функції прикріплення файлів форми «Submit an Event» розширення iCagenda. Компонент не виконує належної перевірки типу завантажуваного файла, що дає змогу зловмиснику завантажити PHP-скрипт і виконати довільний код на сервері.

Уразливі версії:

  • Гілка 4.x — усі версії до 4.0.7 включно
  • Застаріла гілка 3.x — версії з 3.2.1 по 3.9.14 включно

За даними дослідників із mySites.guru, експлуатація цієї вразливості як zero-day спостерігалася з 15 червня 2026 року — майже за місяць до внесення до KEV. Атаки мали автоматизований характер: у логах доступу одного з клієнтів було зафіксовано сканер з User-Agent icagenda-batch/1.0, який отримував токен, завантажував шкідливий файл через endpoint форми, а потім звертався до встановленого веб-шела за передбачуваним шляхом розміщення вкладень. Варто зазначити, що ці деталі ланцюжка атаки надходять від єдиного стороннього джерела й не підтверджені незалежно, хоча саме включення до каталогу CISA KEV підтверджує факт активної експлуатації.

Розробник JoomliC випустив виправлення у версіях 4.0.8 і 3.9.15.

CVE-2026-56291 — Balbooa Forms: неавтентифіковане RCE

Вразливість CVE-2026-56291 у розширенні Balbooa Forms, ймовірно, є ще небезпечнішим випадком. Як повідомляють дослідники, до версії 2.4.0 включно механізм завантаження вкладень через фронтенд приймав файли від будь-якого анонімного відвідувача — без авторизації, без CSRF-токена і без перевірки типу файла. Зловмисник міг завантажити PHP-файл у публічний каталог і виконати його, що забезпечує повноцінне неавтентифіковане віддалене виконання коду.

Вразливість було виявлено 8 липня 2026 року під час реальної атаки на клієнта mySites.guru. Виправлення доступне у версії Balbooa Forms 2.4.1.

Індикатори компрометації

Для обох розширень опубліковано конкретні ознаки, на які слід звернути увагу:

  • iCagenda: перевірити директорію images/icagenda/frontend/attachments/ на наявність підозрілих PHP-файлів
  • Balbooa Forms: перевірити директорію images/baforms/uploads/ на наявність файлів, які не є зображеннями чи документами, особливо з розширенням .php
  • Перевірити список користувачів Joomla на наявність підозрілих облікових записів із правами адміністратора
  • Провести аудит нещодавно змінених або невідомих PHP-файлів по всьому сайту
  • У логах доступу звернути увагу на User-Agent icagenda-batch/1.0

Глобальна кампанія проти CMS: попередження Австралії

Публікація CISA збіглася в часі з попередженням Австралійського центру кібербезпеки (ACSC) про масштабну глобальну кампанію, спрямовану проти систем керування контентом і їхніх плагінів. За даними ACSC, зловмисники активно сканують вебсайти для розгортання веб-шелів, використовуючи вразливості, пов’язані із завантаженням файлів без автентифікації, віддаленим виконанням коду, підробкою серверних запитів (SSRF) та десеріалізацією.

До переліку експлуатованих вразливостей входять недоліки в широкому спектрі продуктів:

ACSC наголосив, що досягнення в галузі ШІ пришвидшують темпи й масштаб кібератак, скорочуючи час між розкриттям вразливості та початком її експлуатації. Це спостереження підтверджується хронологією розглянутих вразливостей Joomla: CVE-2026-48939 експлуатувалася як zero-day щонайменше 25 днів до появи патча.

Оцінка впливу

Обидві вразливості становлять критичну загрозу з кількох причин. По-перше, вони не потребують автентифікації — зловмиснику достатньо знати URL сайта з уразливим розширенням. По-друге, експлуатація повністю автоматизована, що означає масове сканування й компрометацію. По-третє, Joomla залишається однією з найпоширеніших CMS, а iCagenda та Balbooa Forms — популярні розширення для сайтів заходів і форм зворотного зв’язку, включно з ресурсами державних установ, освітніх організацій і малого бізнесу.

Успішна експлуатація призводить до встановлення веб-шела, що надає зловмиснику повний контроль над вебсервером: від викрадення даних і модифікації контенту до використання сервера як плацдарму для подальших атак на внутрішню інфраструктуру.

Рекомендації щодо реагування

  1. Негайно оновити iCagenda до версії 4.0.8 (або 3.9.15 для застарілої гілки) і Balbooa Forms до версії 2.4.1
  2. Перевірити файлову систему за вказаними шляхами на наявність PHP-файлів, яких не має бути в директоріях вкладень
  3. Провести аудит облікових записів Joomla — видалити невідомі акаунти з правами адміністратора
  4. Проаналізувати логи вебсервера на предмет підозрілих запитів до endpoint-ів завантаження файлів і звернень до нетипових PHP-файлів у директоріях вкладень
  5. У разі виявлення ознак компрометації — вважати сервер скомпрометованим: провести повне розслідування, змінити всі облікові дані та перевірити цілісність файлів CMS
  6. Якщо оновлення неможливе негайно — відключити функції завантаження файлів в обох розширеннях або тимчасово деактивувати їх

Триденний термін, встановлений CISA для федеральних агентств, відображає виняткову серйозність ситуації: обидві вразливості мають максимальний бал CVSS, тривіально експлуатуються й уже використовуються в масових автоматизованих атаках. Власникам сайтів на Joomla з розширеннями iCagenda або Balbooa Forms слід розглядати оновлення як завдання найвищого пріоритету — кожна година зволікання підвищує імовірність компрометації.


CyberSecureFox Editorial Team

Редакція CyberSecureFox висвітлює новини кібербезпеки, уразливості, malware-кампанії, ransomware-активність, AI security, cloud security та security advisories вендорів. Матеріали готуються на основі official advisories, даних CVE/NVD, сповіщень CISA, публікацій вендорів і відкритих звітів дослідників. Статті перевіряються перед публікацією та оновлюються за появи нових даних.

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.