Kritické zraniteľnosti rozšírení Joomla, iCagenda a Balbooa Forms, umožňujú vykonávať kód

Vývojári rozšírení iCagenda a Balbooa Forms pre redakčný systém Joomla opravili kritické zraniteľnosti, ktoré umožňujú nahrávať na webserver súbory s ľubovoľnými príponami, čo môže viesť ku vzdialenému vykonaniu kódu PHP, alebo iného kódu pod kontrolou útočníka.

Zraniteľné systémy:

  • Joomla iCagenda 3.2.1 až 4.0.7
  • Joomla Balbooa Forms 1.0 až 2.4.0

Opis činnosti:

CVE-2026-48939 (CVSS skóre 10,0)

Kritická zraniteľnosť v rozšírení iCagenda redakčného systému Joomla súvisí s možnosťou nahrávania ľubovoľných súborov v rámci súborových príloh. Neautentifikovaný útočník môže nahrať a spustiť ľubovoľný súbor PHP, čo môže viesť k úplnému prevzatiu kontroly nad webovým serverom.

CVE-2026-56291 (CVSS skóre 10,0)

Kritická zraniteľnosť v rozšírení Balbooa Forms redakčného systému Joomla umožňuje neautentifikovanému útočníkovi nahrávanie ľubovoľných súborov bez kontroly, čo vedie k možnosti vzdialeného vykonávania kódu.

Americká organizácia CISA zaradila obe zraniteľnosti do svojho katalógu aktívne zneužívaných zraniteľností (KEV).

Možné škody:

  • Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia rozšírení Joomla iCagenda aspoň na verziu 4.0.8 alebo 3.9.15 a Balbooa Forms aspoň na 2.4.1.

Odkazy: