Агентство CISA 10 липня 2026 року внесло до каталогу KEV дві вразливості максимального рівня критичності — CVE-2026-48939 і CVE-2026-56291, які стосуються розширень iCagenda та Balbooa Forms для CMS Joomla. Обом вразливостям присвоєно оцінку CVSS 10.0, вони дають змогу віддалено виконувати код через завантаження довільних файлів і вже експлуатуються в автоматизованих атаках. Для федеральних агентств США (FCEB) встановлено граничний термін усунення — 13 липня 2026 року, тобто всього три дні з моменту публікації. Патчі доступні: власникам сайтів на Joomla з цими розширеннями необхідно оновитися негайно й перевірити сервери на наявність індикаторів компрометації.
Технічний розбір вразливостей
CVE-2026-48939 — iCagenda: виконання коду через форму подання подій
Вразливість CVE-2026-48939 міститься у функції прикріплення файлів форми «Submit an Event» розширення iCagenda. Компонент не виконує належної перевірки типу завантажуваного файла, що дає змогу зловмиснику завантажити PHP-скрипт і виконати довільний код на сервері.
Уразливі версії:
- Гілка 4.x — усі версії до 4.0.7 включно
- Застаріла гілка 3.x — версії з 3.2.1 по 3.9.14 включно
За даними дослідників із mySites.guru, експлуатація цієї вразливості як zero-day спостерігалася з 15 червня 2026 року — майже за місяць до внесення до KEV. Атаки мали автоматизований характер: у логах доступу одного з клієнтів було зафіксовано сканер з User-Agent icagenda-batch/1.0, який отримував токен, завантажував шкідливий файл через endpoint форми, а потім звертався до встановленого веб-шела за передбачуваним шляхом розміщення вкладень. Варто зазначити, що ці деталі ланцюжка атаки надходять від єдиного стороннього джерела й не підтверджені незалежно, хоча саме включення до каталогу CISA KEV підтверджує факт активної експлуатації.
Розробник JoomliC випустив виправлення у версіях 4.0.8 і 3.9.15.
CVE-2026-56291 — Balbooa Forms: неавтентифіковане RCE
Вразливість CVE-2026-56291 у розширенні Balbooa Forms, ймовірно, є ще небезпечнішим випадком. Як повідомляють дослідники, до версії 2.4.0 включно механізм завантаження вкладень через фронтенд приймав файли від будь-якого анонімного відвідувача — без авторизації, без CSRF-токена і без перевірки типу файла. Зловмисник міг завантажити PHP-файл у публічний каталог і виконати його, що забезпечує повноцінне неавтентифіковане віддалене виконання коду.
Вразливість було виявлено 8 липня 2026 року під час реальної атаки на клієнта mySites.guru. Виправлення доступне у версії Balbooa Forms 2.4.1.
Індикатори компрометації
Для обох розширень опубліковано конкретні ознаки, на які слід звернути увагу:
- iCagenda: перевірити директорію
images/icagenda/frontend/attachments/на наявність підозрілих PHP-файлів - Balbooa Forms: перевірити директорію
images/baforms/uploads/на наявність файлів, які не є зображеннями чи документами, особливо з розширенням .php - Перевірити список користувачів Joomla на наявність підозрілих облікових записів із правами адміністратора
- Провести аудит нещодавно змінених або невідомих PHP-файлів по всьому сайту
- У логах доступу звернути увагу на User-Agent
icagenda-batch/1.0
Глобальна кампанія проти CMS: попередження Австралії
Публікація CISA збіглася в часі з попередженням Австралійського центру кібербезпеки (ACSC) про масштабну глобальну кампанію, спрямовану проти систем керування контентом і їхніх плагінів. За даними ACSC, зловмисники активно сканують вебсайти для розгортання веб-шелів, використовуючи вразливості, пов’язані із завантаженням файлів без автентифікації, віддаленим виконанням коду, підробкою серверних запитів (SSRF) та десеріалізацією.
До переліку експлуатованих вразливостей входять недоліки в широкому спектрі продуктів:
- Sneeit Framework (CVE-2025-6389)
- WPBookit для WordPress (CVE-2025-7852)
- Gravity Forms для WordPress (CVE-2025-12352)
- Craft CMS (CVE-2025-32432)
- Ninja Forms, MaxSite CMS, Breeze Cache, WavePlayer, MetInfo CMS, Joomla JCE
ACSC наголосив, що досягнення в галузі ШІ пришвидшують темпи й масштаб кібератак, скорочуючи час між розкриттям вразливості та початком її експлуатації. Це спостереження підтверджується хронологією розглянутих вразливостей Joomla: CVE-2026-48939 експлуатувалася як zero-day щонайменше 25 днів до появи патча.
Оцінка впливу
Обидві вразливості становлять критичну загрозу з кількох причин. По-перше, вони не потребують автентифікації — зловмиснику достатньо знати URL сайта з уразливим розширенням. По-друге, експлуатація повністю автоматизована, що означає масове сканування й компрометацію. По-третє, Joomla залишається однією з найпоширеніших CMS, а iCagenda та Balbooa Forms — популярні розширення для сайтів заходів і форм зворотного зв’язку, включно з ресурсами державних установ, освітніх організацій і малого бізнесу.
Успішна експлуатація призводить до встановлення веб-шела, що надає зловмиснику повний контроль над вебсервером: від викрадення даних і модифікації контенту до використання сервера як плацдарму для подальших атак на внутрішню інфраструктуру.
Рекомендації щодо реагування
- Негайно оновити iCagenda до версії 4.0.8 (або 3.9.15 для застарілої гілки) і Balbooa Forms до версії 2.4.1
- Перевірити файлову систему за вказаними шляхами на наявність PHP-файлів, яких не має бути в директоріях вкладень
- Провести аудит облікових записів Joomla — видалити невідомі акаунти з правами адміністратора
- Проаналізувати логи вебсервера на предмет підозрілих запитів до endpoint-ів завантаження файлів і звернень до нетипових PHP-файлів у директоріях вкладень
- У разі виявлення ознак компрометації — вважати сервер скомпрометованим: провести повне розслідування, змінити всі облікові дані та перевірити цілісність файлів CMS
- Якщо оновлення неможливе негайно — відключити функції завантаження файлів в обох розширеннях або тимчасово деактивувати їх
Триденний термін, встановлений CISA для федеральних агентств, відображає виняткову серйозність ситуації: обидві вразливості мають максимальний бал CVSS, тривіально експлуатуються й уже використовуються в масових автоматизованих атаках. Власникам сайтів на Joomla з розширеннями iCagenda або Balbooa Forms слід розглядати оновлення як завдання найвищого пріоритету — кожна година зволікання підвищує імовірність компрометації.