Kritické zraniteľnosti rozšírení Joomla, iCagenda a Balbooa Forms, umožňujú vykonávať kód
Vývojári rozšírení iCagenda a Balbooa Forms pre redakčný systém Joomla opravili kritické zraniteľnosti, ktoré umožňujú nahrávať na webserver súbory s ľubovoľnými príponami, čo môže viesť ku vzdialenému vykonaniu kódu PHP, alebo iného kódu pod kontrolou útočníka.
Zraniteľné systémy:
- Joomla iCagenda 3.2.1 až 4.0.7
- Joomla Balbooa Forms 1.0 až 2.4.0
Opis činnosti:
CVE-2026-48939 (CVSS skóre 10,0)
Kritická zraniteľnosť v rozšírení iCagenda redakčného systému Joomla súvisí s možnosťou nahrávania ľubovoľných súborov v rámci súborových príloh. Neautentifikovaný útočník môže nahrať a spustiť ľubovoľný súbor PHP, čo môže viesť k úplnému prevzatiu kontroly nad webovým serverom.
CVE-2026-56291 (CVSS skóre 10,0)
Kritická zraniteľnosť v rozšírení Balbooa Forms redakčného systému Joomla umožňuje neautentifikovanému útočníkovi nahrávanie ľubovoľných súborov bez kontroly, čo vedie k možnosti vzdialeného vykonávania kódu.
Americká organizácia CISA zaradila obe zraniteľnosti do svojho katalógu aktívne zneužívaných zraniteľností (KEV).
Možné škody:
- Vzdialené vykonávanie kódu
Odporúčania:
Bezodkladná aktualizácia rozšírení Joomla iCagenda aspoň na verziu 4.0.8 alebo 3.9.15 a Balbooa Forms aspoň na 2.4.1.
Odkazy:
- https://www.cisa.gov/news-events/alerts/2026/07/10/cisa-adds-two-known-exploited-vulnerabilities-catalog
- https://www.cve.org/CVERecord?id=CVE-2026-48939
- https://www.cve.org/CVERecord?id=CVE-2026-56291
- https://mysites.guru/blog/balbooa-forms-unauthenticated-file-upload-flaw/#cve-record-and-disclosure-timeline
- https://www.joomlic.com/news/icagenda-security-update