Агентство кибербезопасности и защиты инфраструктуры США (CISA) внесло две новые уязвимости в каталог Known Exploited Vulnerabilities (KEV) на основании подтверждённых случаев активного использования. Речь идёт о проблемах в популярных расширениях для системы управления контентом Joomla: iCagenda и Balbooa Forms. Обе уязвимости получили максимальный балл 10,0 по шкале CVSS версии 4.0, что говорит о критическом уровне опасности и высокой вероятности эксплуатации.
Детали уязвимостей
Первая уязвимость, CVE-2026-48939, затрагивает расширение iCagenda от разработчика icagenda.com. Причина - неограниченная загрузка файлов опасного типа в функции вложения файлов. В результате атакующий, не прошедший аутентификацию, может отправить на сервер вредоносный PHP-файл и впоследствии выполнить его, получив полный контроль над сайтом. Уязвимы версии iCagenda с 3.2.1 по 4.0.7 включительно. Разработчик уже выпустил исправленную версию 4.0.8, а также 3.9.15 для ветки 3.x.
Вторая уязвимость, CVE-2026-56291, обнаружена в расширении Balbooa Forms от balbooa.com. Она также связана с неограниченной загрузкой файлов - злоумышленник может загрузить исполняемый файл без аутентификации. Эксплуатация приводит к удалённому выполнению кода (RCE) на сервере. Проблема затрагивает все версии расширения с 1.0 до 2.4.0. В актуальной версии 2.4.1 уязвимость устранена.
Обе проблемы относятся к типу CWE-434 - неограниченная загрузка файла опасного типа. Вектор атаки в обоих случаях сетевой, для эксплуатации не требуется учётных данных или взаимодействия пользователя. Злоумышленнику достаточно отправить специально сформированный запрос на сервер, после чего загруженный файл может быть запущен. Как отмечается в уведомлении CISA, злоумышленники уже применяют эти уязвимости в реальных атаках, поэтому обновление следует выполнить незамедлительно.
Добавление уязвимостей в каталог KEV является стандартной процедурой для CISA: агентство фиксирует те недостатки, которые активно эксплуатируются в поле. Это не просто предупреждение, а прямое указание для государственных учреждений США обновить системы. Однако угроза касается любого владельца сайта на Joomla, использующего затронутые расширения. Поскольку обе уязвимости позволяют выполнить произвольный код, их эксплуатация может привести к установке программ-вымогателей, краже данных или превращению сайта в часть ботнета.
Владельцам сайтов на Joomla рекомендуется немедленно обновить расширение iCagenda до версии 4.0.8 (или 3.9.15), а расширение Balbooa Forms - до версии 2.4.1. Если по каким-то причинам обновление невозможно, следует временно отключить соответствующие компоненты или настроить брандмауэр на блокировку загрузки файлов через эти модули. Однако полную защиту обеспечивает только установка патча.
Ситуация с этими двумя уязвимостями в очередной раз подчёркивает риски, связанные с расширениями сторонних разработчиков для популярных CMS. Исследователи безопасности неоднократно отмечают, что именно компоненты и плагины часто становятся слабым звеном: их код реже проверяется на безопасность, а процесс обновления у владельцев сайтов зачастую откладывается. Уязвимости типа CWE-434 встречаются регулярно, и каждый случай активной эксплуатации - повод пересмотреть свою практику управления обновлениями. В данном случае обе проблемы были закрыты своевременно, но факт эксплуатации до выхода патча говорит о том, что злоумышленники отслеживают новые уязвимости и атакуют сайты, пока владельцы не успели установить исправления.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-56291
- https://www.cve.org/CVERecord?id=CVE-2026-48939
- https://www.cisa.gov/news-events/alerts/2026/07/10/cisa-adds-two-known-exploited-vulnerabilities-catalog