Новости 10 из 10 баллов по CVSS — и атаки начались ещё до выхода патча. Разбираемся, чем опасны две критические уязвимости в расширениях для Joomla

NewsMaker

I'm just a script
Премиум
28,273
46
8 Ноя 2022
Два "нулевых дня" в iCagenda и Balbooa Forms уже используются в реальных атаках.

<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:1200/675;margin-bottom:2rem;overflow:hidden">
uyk856q5pzldj1n0k2x87vid3gop7xpc.jpg

Две критические уязвимости в расширениях iCagenda и Balbooa Forms для Joomla уже используют в атаках, причём злоумышленники начали действовать ещё до выпуска исправлений. Обе ошибки позволяют загрузить на сайт вредоносный PHP-файл и выполнить код на сервере без входа в учётную запись.

Агентство по кибербезопасности и защите инфраструктуры США добавило уязвимости CVE-2026-48939 и CVE-2026-56291 в каталог известных эксплуатируемых проблем . Каждая получила максимальную оценку опасности 10 баллов из 10.

CVE-2026-48939 (10.0 Critical) затрагивает расширение календаря iCagenda. Ошибка скрывается в форме «Предложить событие», через которую посетители могут отправлять новые мероприятия. Механизм вложений недостаточно проверяет загружаемые файлы, поэтому атакующий может разместить PHP-сценарий в открытой папке сайта и запустить его.

Специалисты сервиса mySites.guru обнаружили автоматические атаки на сайты с iCagenda ещё 15 июня 2026 года. Сканер с идентификатором «icagenda-batch/1.0» получал защитный токен, отправлял вредоносный файл через форму, а затем обращался к установленной командной оболочке по известному пути.

Уязвимость затрагивает iCagenda версий 4.0.7 и ниже, а также старую ветку от 3.2.1 до 3.9.14 включительно. Разработчики закрыли проблему в выпусках 4.0.8 и 3.9.15. Владельцам сайтов советуют проверить каталог «images/icagenda/frontend/attachments/» и удалить неизвестные PHP-файлы.

Вторая уязвимость, CVE-2026-56291 (10.0 Critical), найдена в Balbooa Forms версий 2.4.0 и ниже. Расширение принимало вложения от любого посетителя без входа в систему, защитного токена и проверки типа файла. В результате злоумышленник мог загрузить PHP-сценарий в общедоступный каталог и выполнить команды на сервере.

MySites.guru выявил проблему 8 июля 2026 года после атаки на сайт одного из клиентов. Исправление вошло в Balbooa Forms 2.4.1 . Администраторам рекомендуют проверить папку «images/baforms/uploads», список пользователей Joomla и недавно изменённые PHP-файлы. Особое внимание следует обратить на неизвестные учётные записи с правами администратора.

Федеральные гражданские ведомства США должны установить обновления до 13 июля 2026 года. Владельцам остальных сайтов на Joomla также лучше не откладывать установку исправлений, поскольку обе уязвимости уже применяют в реальных атаках.
 
Источник новости
www.securitylab.ru

Похожие темы