iCagenda en Balbooa vormen Joomla-fouten die naar verluidt zijn uitgebuit als Zero-Days

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft twee beveiligingsfouten met de hoogste ernst die van invloed zijn op de iCagenda- en Balbooa-extensies voor Joomla toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus, na berichten over zero-day-exploitatie in het wild.

De kwetsbaarheden, beide beoordeeld met een 10,0 op het CVSS-scoresysteem, staan ​​hieronder:

  • CVE-2026-48939 – Een kwetsbaarheid in de iCagenda-extensie voor Joomla die het uploaden van willekeurige bestanden mogelijk maakt via de functie voor bestandsbijlagen, wat leidt tot het uploaden en uitvoeren van PHP-code.
  • CVE-2026-56291 – Een kwetsbaarheid in de Balbooa Forms-extensie voor Joomla die het uploaden van willekeurige bestanden mogelijk maakt, wat leidt tot uitvoering van code op afstand.

Volgens mySites.guru, een cloudgebaseerde dashboardservice voor het beheer van WordPress- en Joomla-websites, zou CVE-2026-48939 sinds 15 juni 2026 als zero-day worden uitgebuit bij geautomatiseerde aanvallen gericht op Joomla-sites waarop iCagenda is geïnstalleerd. Het bevindt zich in de formulierfunctionaliteit “Een evenement indienen”, waarmee gebruikers evenementen voor de kalender kunnen voorstellen.

“We zagen het voor het eerst in het toegangslogboek van een klant: een geautomatiseerde scanner die zichzelf identificeerde als ‘icagenda-batch/1.0’ pakte een token, plaatste een kwaadaardige upload naar het submission-eindpunt en haalde vervolgens de geplaatste shell op op het exacte pad waarnaar de component bijlagen schrijft”, aldus mySites.guru.

De fout heeft gevolgen voor de volgende versies:

  • 4.x versies tot en met 4.0.7
  • Legacy 3.x-versies van 3.2.1 tot en met 3.9.14

JoomliC heeft sindsdien updates uitgebracht om het probleem aan te pakken in iCagenda versies 4.0.8 en 3.9.15. Site-eigenaren worden geadviseerd om te controleren op verdachte PHP-bestanden in de map “images/icagenda/frontend/attachments/” en deze te verwijderen.

MySites.guru zei dat het ook zero-day-exploitatie van CVE-2026-56291 heeft waargenomen, wat gevolgen heeft voor Balbooa Forms-versies tot en met 2.4.0. Het is gepatcht in versie 2.4.1.

“Tot en met versie 2.4.0 vertoonde het uploaden van bijlagen aan de frontend een ernstige fout: het accepteerde een bestand van elke anonieme bezoeker, zonder login, zonder CSRF-token en zonder controle op het bestandstype”, aldus het rapport. “Een aanvaller kan een PHP-bestand uploaden naar een openbare map en het vervolgens uitvoeren, wat neerkomt op niet-geverifieerde uitvoering van externe code, het ergste resultaat dat een webfout kan hebben.”

De kwetsbaarheid werd op 8 juli 2026 door mySites.guru ontdekt na een live aanval op een van zijn klanten. Het heeft de volgende indicatoren van compromis gedeeld:

  • Kijk in de uploadmap van Balbooa Forms (standaard “images/baforms/uploads”) voor elk bestand dat geen afbeelding of document is, vooral alles dat eindigt op PHP
  • Controleer de Joomla-gebruikerslijst op verdachte beheerdersaccounts
  • Controleer de set op recent gewijzigde of onbekende PHP-bestanden op de hele site

In het licht van actieve exploitatie hebben de agentschappen van de Federal Civilian Executive Branch (FCEB) tot 13 juli 2026 de tijd om de oplossingen in hun netwerken te implementeren.

Australië waarschuwt voor wereldwijde campagnes gericht op kwetsbare CMS-systemen

De onthulling komt op het moment dat het Australian Cyber ​​Security Centre (ACSC) een waarschuwing heeft afgegeven voor een wereldwijde exploitatiecampagne die zich richt op verschillende kwetsbaarheden in contentmanagementsystemen (CMS) en plug-ins.

“Als onderdeel van deze campagne scannen kwaadwillende cyberactoren actief websites op mogelijkheden om webshells in te zetten, waarbij gebruik wordt gemaakt van verschillende kwetsbaarheden die CMS-software en plug-ins beïnvloeden”, aldus het bureau. “Deze kwetsbaarheden maken voornamelijk het uploaden van niet-geverifieerde bestanden, het uitvoeren van externe code, het vervalsen van verzoeken aan de serverzijde of deserialisatie mogelijk.”

Eenmaal geïmplementeerd, dienen de webshells als kanalen voor externe toegang en controle over de beoogde webservers. Enkele van de geïdentificeerde beveiligingsproblemen worden hieronder vermeld:

“Deze grootschalige wereldwijde exploitatiecampagne demonstreert de snel evoluerende cyberrisico’s waarmee organisaties worden geconfronteerd”, aldus ACSC, eraan toevoegend dat “de vooruitgang op het gebied van AI de snelheid en omvang van cyberoperaties versnelt, waardoor de tijd tussen de openbaarmaking van kwetsbaarheden en de uitbuiting wordt verkort.”

Thijs Van der Does