Zwei Joomla-Uploads landen im CISA-KEV
CISA hat am 10. Juli 2026 zwei unauthentisierte File-Upload-Lücken aus Joomla-Extensions ins Known Exploited Vulnerabilities Catalog aufgenommen: CVE-2026-48939 (iCagenda) und CVE-2026-56291 (Balbooa Forms). Beide enden in Remote Code Execution. Für Betreiber zählt Asset-Discovery vor dem reinen Patch-Ticket.
Das Wichtigste in Kürze
- KEV seit 10.07.2026. iCagenda und Balbooa Forms mit bestätigter Wild-Exploitation.
- Patch-Level hart. iCagenda 4.0.8 / 3.9.15; Balbooa Forms 2.4.1 oder neuer.
- IoCs in Upload-Ordnern. PHP unter images/icagenda und images/baforms ist ein rotes Flag.
- Inventar zuerst. Welche Sites fahren welche Extension-Version? Ohne Liste bleibt der Patch Zufall.
Verwandt:Vier Lücken im KEV / Squidex-Upload-Lücke
Was CISA am 10. Juli ins KEV legte
Was ist der Joomla-KEV-Upload? Eine Third-Party-Extension mit unauthentisiertem Upload gefährlicher Dateitypen. CVE-2026-48939 betrifft iCagenda (com_icagenda) über die öffentliche Event-Submission. CVE-2026-56291 betrifft Balbooa Forms (com_baforms): Frontend-Upload ohne Login, ohne CSRF-Check und ohne Extension-Allowlist bis einschließlich 2.4.0.
Definition · KEV-Upload-RCE
Eine öffentlich erreichbare Upload-Schnittstelle akzeptiert ausführbare Dateien ohne Login. Der Angreifer legt PHP ab und erhält Remote Code Execution auf dem Webserver.
Beide Schwachstellen sind laut Disclosure-Quellen Zero-Days mit laufender Ausnutzung. CISA listet sie als Unrestricted Upload of File with Dangerous Type. Für US-Bundesbehörden gilt BOD 26-04 mit prioritärer Remediation. Für DACH-Betreiber ist KEV kein Gesetzesbefehl, aber ein hartes Prioritätssignal.
Patch-Level und betroffene Versionen
iCagenda: laut mySites.guru betroffen 3.2.1 bis 3.9.14 sowie 4.0.0 bis 4.0.7. Fix in 4.0.8 (15. Juni 2026) und Legacy 3.9.15 (16. Juni 2026). Die Severity liegt im kritischen Bereich (Finder-Matrix oft 9.8, in Teilen der Diskussion bis 10.0).
Balbooa Forms: betroffen bis einschließlich 2.4.0. Fix in 2.4.1 (9. Juli 2026), Finder-Angabe CVSS 4.0 Score 10.0. Der Changelog listete die Maßnahmen zunächst unter „Fixed“ ohne klares Security-Banner. Wer nur nach dem Wort „security“ filtert, lässt den Fix liegen.
Inventar, IoCs und Checkliste
CMS-Kampagnen treffen selten zuerst den Core. Sie treffen die Extension mit öffentlichem Upload. Agenturen mit vielen Joomla-Sites brauchen eine Inventarliste: Site, Extension, Version, öffentlich erreichbar ja/nein. Parallel zum Patch: Upload-Ordner prüfen. Balbooa Forms legt Anhänge typisch unter images/baforms/uploads/ ab. iCagenda nutzt Pfade unter images/icagenda. Jede unerwartete .php-Datei dort ist ein Kompromiss-Hinweis.
Joomla-Upload-KEV jetzt
- ✓Alle Sites auf iCagenda und Balbooa Forms scannen und Versionen exportieren
- ✓Unter Mindestversion sofort updaten, nicht aufs Wartungsfenster warten
- ✓Upload-Ordner auf PHP und unbekannte Shells prüfen; Super-User-Liste sichten
- ✓Logs auf POSTs zu baforms-/icagenda-Upload-Tasks vor dem Patch-Zeitpunkt prüfen
- ✓WAF: anonyme Uploads mit executable Extensions blocken, bis das Inventar grün ist
Dieselbe Woche brachte CISA auch verwandte Joomla-Builder-Lücken in den KEV-Kontext (laut Finder-Roundup zu Page Builder CK und SP Page Builder). Das Muster ist stabil: anonyme Form- und AJAX-Endpoints ohne harte Allowlist. Form-Builder und Event-Plugins sind Angriffsfläche, nicht nur Content-Tools. Primärquellen: CISA-Alert 10.07.2026, Vendor-Changelogs, technische Analysen von mySites.guru.
Häufige Fragen
Jede Frage ist verschlossen. Ein Tippen entriegelt die Antwort.
Reicht ein Core-Update von Joomla?
Nein. Die Lücken sitzen in Third-Party-Extensions. Core-Patches ersetzen kein Extension-Update.
Sind nur US-Behörden betroffen?
KEV verpflichtet primär US-FCEB. Aktive Exploitation gilt global. Jede öffentlich erreichbare Joomla-Site mit den Extensions ist im Scope.
Was tun, wenn kein sofortiges Update möglich ist?
Öffentliche Formulare mit Datei-Upload deaktivieren oder die Extension offline nehmen. Danach forensisch prüfen, dann patchen.
Welche IoCs sind praxisnah?
Unerwartete PHP-Dateien in images/baforms und images/icagenda, neue Super-User, geänderte configuration.php, unbekannte Webshell-Pfade.
Wo liegt die Primärquelle?
CISA KEV-Alert vom 10.07.2026 zu CVE-2026-48939 und CVE-2026-56291; Changelogs iCagenda 4.0.8/3.9.15 und Balbooa 2.4.1; Analyse u. a. mySites.guru.
Lesetipps der Redaktion
LesetippSharePoint-JWT-Bypass öffnet On-Prem-SitesLesetippBitLocker-Bypass bei physischem ZugriffLesetippVier Lücken im KEV – eine zieht Cloud-Schlüssel ab
Mehr aus dem MBF Media Netzwerk
cloudmagazinAWS Sovereign Cloud: was wirklich getrennt istMyBusinessFutureDigitaler Produktpass: Was Hersteller tun müssenDigital ChiefsToken-OPEX: Inference steuert, nicht das Seat-Budget
Bildquelle: KI-generiert (Juli 2026)





