Два "нулевых дня" в iCagenda и Balbooa Forms уже используются в реальных атаках.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:1200/675;margin-bottom:2rem;overflow:hidden">
Две критические уязвимости в расширениях iCagenda и Balbooa Forms для Joomla уже используют в атаках, причём злоумышленники начали действовать ещё до выпуска исправлений. Обе ошибки позволяют загрузить на сайт вредоносный PHP-файл и выполнить код на сервере без входа в учётную запись.
Агентство по кибербезопасности и защите инфраструктуры США добавило уязвимости CVE-2026-48939 и CVE-2026-56291 в каталог известных эксплуатируемых проблем . Каждая получила максимальную оценку опасности 10 баллов из 10.
CVE-2026-48939 (10.0 Critical) затрагивает расширение календаря iCagenda. Ошибка скрывается в форме «Предложить событие», через которую посетители могут отправлять новые мероприятия. Механизм вложений недостаточно проверяет загружаемые файлы, поэтому атакующий может разместить PHP-сценарий в открытой папке сайта и запустить его.
Специалисты сервиса mySites.guru обнаружили автоматические атаки на сайты с iCagenda ещё 15 июня 2026 года. Сканер с идентификатором «icagenda-batch/1.0» получал защитный токен, отправлял вредоносный файл через форму, а затем обращался к установленной командной оболочке по известному пути.
Уязвимость затрагивает iCagenda версий 4.0.7 и ниже, а также старую ветку от 3.2.1 до 3.9.14 включительно. Разработчики закрыли проблему в выпусках 4.0.8 и 3.9.15. Владельцам сайтов советуют проверить каталог «images/icagenda/frontend/attachments/» и удалить неизвестные PHP-файлы.
Вторая уязвимость, CVE-2026-56291 (10.0 Critical), найдена в Balbooa Forms версий 2.4.0 и ниже. Расширение принимало вложения от любого посетителя без входа в систему, защитного токена и проверки типа файла. В результате злоумышленник мог загрузить PHP-сценарий в общедоступный каталог и выполнить команды на сервере.
MySites.guru выявил проблему 8 июля 2026 года после атаки на сайт одного из клиентов. Исправление вошло в Balbooa Forms 2.4.1 . Администраторам рекомендуют проверить папку «images/baforms/uploads», список пользователей Joomla и недавно изменённые PHP-файлы. Особое внимание следует обратить на неизвестные учётные записи с правами администратора.
Федеральные гражданские ведомства США должны установить обновления до 13 июля 2026 года. Владельцам остальных сайтов на Joomla также лучше не откладывать установку исправлений, поскольку обе уязвимости уже применяют в реальных атаках.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:1200/675;margin-bottom:2rem;overflow:hidden">
Две критические уязвимости в расширениях iCagenda и Balbooa Forms для Joomla уже используют в атаках, причём злоумышленники начали действовать ещё до выпуска исправлений. Обе ошибки позволяют загрузить на сайт вредоносный PHP-файл и выполнить код на сервере без входа в учётную запись.
Агентство по кибербезопасности и защите инфраструктуры США добавило уязвимости CVE-2026-48939 и CVE-2026-56291 в каталог известных эксплуатируемых проблем . Каждая получила максимальную оценку опасности 10 баллов из 10.
CVE-2026-48939 (10.0 Critical) затрагивает расширение календаря iCagenda. Ошибка скрывается в форме «Предложить событие», через которую посетители могут отправлять новые мероприятия. Механизм вложений недостаточно проверяет загружаемые файлы, поэтому атакующий может разместить PHP-сценарий в открытой папке сайта и запустить его.
Специалисты сервиса mySites.guru обнаружили автоматические атаки на сайты с iCagenda ещё 15 июня 2026 года. Сканер с идентификатором «icagenda-batch/1.0» получал защитный токен, отправлял вредоносный файл через форму, а затем обращался к установленной командной оболочке по известному пути.
Уязвимость затрагивает iCagenda версий 4.0.7 и ниже, а также старую ветку от 3.2.1 до 3.9.14 включительно. Разработчики закрыли проблему в выпусках 4.0.8 и 3.9.15. Владельцам сайтов советуют проверить каталог «images/icagenda/frontend/attachments/» и удалить неизвестные PHP-файлы.
Вторая уязвимость, CVE-2026-56291 (10.0 Critical), найдена в Balbooa Forms версий 2.4.0 и ниже. Расширение принимало вложения от любого посетителя без входа в систему, защитного токена и проверки типа файла. В результате злоумышленник мог загрузить PHP-сценарий в общедоступный каталог и выполнить команды на сервере.
MySites.guru выявил проблему 8 июля 2026 года после атаки на сайт одного из клиентов. Исправление вошло в Balbooa Forms 2.4.1 . Администраторам рекомендуют проверить папку «images/baforms/uploads», список пользователей Joomla и недавно изменённые PHP-файлы. Особое внимание следует обратить на неизвестные учётные записи с правами администратора.
Федеральные гражданские ведомства США должны установить обновления до 13 июля 2026 года. Владельцам остальных сайтов на Joomla также лучше не откладывать установку исправлений, поскольку обе уязвимости уже применяют в реальных атаках.
- Источник новости
- www.securitylab.ru