LAGEBRIEFING · 15.07.2026 DEENFRES

Praxis & Umsetzung

Zwei Joomla-Uploads landen im CISA-KEV

Von Alec Chizhik · 15. Juli 2026 · 4 Minuten Lesezeit

CISA hat am 10. Juli 2026 zwei unauthentisierte File-Upload-Lücken aus Joomla-Extensions ins Known Exploited Vulnerabilities Catalog aufgenommen: CVE-2026-48939 (iCagenda) und CVE-2026-56291 (Balbooa Forms). Beide enden in Remote Code Execution. Für Betreiber zählt Asset-Discovery vor dem reinen Patch-Ticket.

Das Wichtigste in Kürze

  • KEV seit 10.07.2026. iCagenda und Balbooa Forms mit bestätigter Wild-Exploitation.
  • Patch-Level hart. iCagenda 4.0.8 / 3.9.15; Balbooa Forms 2.4.1 oder neuer.
  • IoCs in Upload-Ordnern. PHP unter images/icagenda und images/baforms ist ein rotes Flag.
  • Inventar zuerst. Welche Sites fahren welche Extension-Version? Ohne Liste bleibt der Patch Zufall.

Verwandt:Vier Lücken im KEV  /  Squidex-Upload-Lücke

Was CISA am 10. Juli ins KEV legte

Was ist der Joomla-KEV-Upload? Eine Third-Party-Extension mit unauthentisiertem Upload gefährlicher Dateitypen. CVE-2026-48939 betrifft iCagenda (com_icagenda) über die öffentliche Event-Submission. CVE-2026-56291 betrifft Balbooa Forms (com_baforms): Frontend-Upload ohne Login, ohne CSRF-Check und ohne Extension-Allowlist bis einschließlich 2.4.0.

Definition · KEV-Upload-RCE

Eine öffentlich erreichbare Upload-Schnittstelle akzeptiert ausführbare Dateien ohne Login. Der Angreifer legt PHP ab und erhält Remote Code Execution auf dem Webserver.

Beide Schwachstellen sind laut Disclosure-Quellen Zero-Days mit laufender Ausnutzung. CISA listet sie als Unrestricted Upload of File with Dangerous Type. Für US-Bundesbehörden gilt BOD 26-04 mit prioritärer Remediation. Für DACH-Betreiber ist KEV kein Gesetzesbefehl, aber ein hartes Prioritätssignal.

Patch-Level und betroffene Versionen

iCagenda: laut mySites.guru betroffen 3.2.1 bis 3.9.14 sowie 4.0.0 bis 4.0.7. Fix in 4.0.8 (15. Juni 2026) und Legacy 3.9.15 (16. Juni 2026). Die Severity liegt im kritischen Bereich (Finder-Matrix oft 9.8, in Teilen der Diskussion bis 10.0).

Balbooa Forms: betroffen bis einschließlich 2.4.0. Fix in 2.4.1 (9. Juli 2026), Finder-Angabe CVSS 4.0 Score 10.0. Der Changelog listete die Maßnahmen zunächst unter „Fixed“ ohne klares Security-Banner. Wer nur nach dem Wort „security“ filtert, lässt den Fix liegen.

Inventar, IoCs und Checkliste

CMS-Kampagnen treffen selten zuerst den Core. Sie treffen die Extension mit öffentlichem Upload. Agenturen mit vielen Joomla-Sites brauchen eine Inventarliste: Site, Extension, Version, öffentlich erreichbar ja/nein. Parallel zum Patch: Upload-Ordner prüfen. Balbooa Forms legt Anhänge typisch unter images/baforms/uploads/ ab. iCagenda nutzt Pfade unter images/icagenda. Jede unerwartete .php-Datei dort ist ein Kompromiss-Hinweis.

Joomla-Upload-KEV jetzt

  • Alle Sites auf iCagenda und Balbooa Forms scannen und Versionen exportieren
  • Unter Mindestversion sofort updaten, nicht aufs Wartungsfenster warten
  • Upload-Ordner auf PHP und unbekannte Shells prüfen; Super-User-Liste sichten
  • Logs auf POSTs zu baforms-/icagenda-Upload-Tasks vor dem Patch-Zeitpunkt prüfen
  • WAF: anonyme Uploads mit executable Extensions blocken, bis das Inventar grün ist

Dieselbe Woche brachte CISA auch verwandte Joomla-Builder-Lücken in den KEV-Kontext (laut Finder-Roundup zu Page Builder CK und SP Page Builder). Das Muster ist stabil: anonyme Form- und AJAX-Endpoints ohne harte Allowlist. Form-Builder und Event-Plugins sind Angriffsfläche, nicht nur Content-Tools. Primärquellen: CISA-Alert 10.07.2026, Vendor-Changelogs, technische Analysen von mySites.guru.

Häufige Fragen

Jede Frage ist verschlossen. Ein Tippen entriegelt die Antwort.

Reicht ein Core-Update von Joomla?

Nein. Die Lücken sitzen in Third-Party-Extensions. Core-Patches ersetzen kein Extension-Update.

Sind nur US-Behörden betroffen?

KEV verpflichtet primär US-FCEB. Aktive Exploitation gilt global. Jede öffentlich erreichbare Joomla-Site mit den Extensions ist im Scope.

Was tun, wenn kein sofortiges Update möglich ist?

Öffentliche Formulare mit Datei-Upload deaktivieren oder die Extension offline nehmen. Danach forensisch prüfen, dann patchen.

Welche IoCs sind praxisnah?

Unerwartete PHP-Dateien in images/baforms und images/icagenda, neue Super-User, geänderte configuration.php, unbekannte Webshell-Pfade.

Wo liegt die Primärquelle?

CISA KEV-Alert vom 10.07.2026 zu CVE-2026-48939 und CVE-2026-56291; Changelogs iCagenda 4.0.8/3.9.15 und Balbooa 2.4.1; Analyse u. a. mySites.guru.

Lesetipps der Redaktion

LesetippSharePoint-JWT-Bypass öffnet On-Prem-SitesLesetippBitLocker-Bypass bei physischem ZugriffLesetippVier Lücken im KEV – eine zieht Cloud-Schlüssel ab

Mehr aus dem MBF Media Netzwerk

cloudmagazinAWS Sovereign Cloud: was wirklich getrennt istMyBusinessFutureDigitaler Produktpass: Was Hersteller tun müssenDigital ChiefsToken-OPEX: Inference steuert, nicht das Seat-Budget

Bildquelle: KI-generiert (Juli 2026)

Weiterführende Lektüre

Praxis & Umsetzung · 15. Juli 2026

LegacyHive-PoC trifft frische Windows-Patches

Öffentlicher Windows-EoP-PoC LegacyHive kurz nach Patch Tuesday. Detection um Hive Load und User Profile Service, Hardening bevor Chains reifen.

Praxis & Umsetzung · 15. Juli 2026

BitLocker-Bypass bei physischem Zugriff

CVE-2026-50661 umgeht BitLocker bei physischem Zugriff. CVSS 6.1, Juli-Patch, Checkliste für Notebooks, Pools und Lost-Device-Prozesse.

Ein Magazin der Evernine Media GmbH