BRIEFING DE SEGURIDAD · 16.07.2026 DEENFRES

Práctica e Implementación

Dos vulnerabilidades de Joomla en la lista KEV de CISA

Por Alec Chizhik · 15 de julio de 2026 · 5 min de lectura

CISA ha incorporado el 10. Juli 2026 dos vulnerabilidades de subida de archivos no autenticadas de extensiones Joomla al Catálogo de Vulnerabilidades Exploradas Conocidas (KEV): CVE-2026-48939 (iCagenda) y CVE-2026-56291 (Balbooa Forms). Ambas conducen a ejecución remota de código. Para los operadores, el descubrimiento de activos precede al simple ticket de parche.

Lo más importante en resumen

  • KEV desde 10.07.2026. iCagenda y Balbooa Forms con explotación salvaje confirmada.
  • Nivel de parche estricto. iCagenda 4.0.8 / 3.9.15; Balbooa Forms 2.4.1 o posterior.
  • IOCs en carpetas de carga. PHP en images/icagenda y images/baforms es una bandera roja.
  • Inventario primero. ¿Qué sitios ejecutan qué versión de la extensión? Sin lista, el parche es casualidad.

Relacionado:Cuatro vulnerabilidades en KEV  /  Vulnerabilidad de subida de Squidex

Qué CISA incluyó en KEV el 10 de julio

¿Qué es el upload KEV de Joomla? Una extensión de terceros con carga no autenticada de tipos de archivos peligrosos. CVE-2026-48939 afecta a iCagenda (com_icagenda) a través de la presentación pública de eventos. CVE-2026-56291 afecta a Balbooa Forms (com_baforms): carga en el frontend sin inicio de sesión, sin revisión CSRF y sin lista de allowlist de extensiones hasta la versión 2.4.0.

Definición · KEV-Upload-RCE

Una interfaz de carga pública accesible acepta archivos ejecutables sin necesidad de iniciar sesión. El atacante coloca PHP y obtiene ejecución remota de código en el servidor web.

Ambas vulnerabilidades, según fuentes de divulgación, son zero‑days con explotación en curso. CISA las clasifica como Carga no restringida de archivos con tipo peligroso. Para las agencias federales de EE. UU. se aplica el BOD 26-04 con remediación prioritaria. Para los operadores de la zona DACH, KEV no es una obligación legal, pero sí una señal de prioridad fuerte.

Nivel de parche y versiones afectadas

iCagenda: según mySites.guru afectado desde la 3.2.1 hasta la 3.9.14 y desde la 4.0.0 hasta la 4.0.7. Corrección en 4.0.8 (15 de junio de 2026) y Legacy 3.9.15 (16 de junio de 2026). La gravedad se sitúa en el rango crítico (Finder-Matrix a menudo 9.8, en partes de la discusión hasta 10.0).

Balbooa Forms: afectado hasta la versión 2.4.0. Corrección en 2.4.1 (9 de julio de 2026), indicador CVSS 4.0 Score 10.0. El changelog enumeró inicialmente las medidas bajo «Fixed» sin un claro banner de seguridad. Quien solo filtra por la palabra «security» pasa por alto el parche.

Inventario, IoCs y lista de verificación

Las campañas de CMS rara vez atacan primero el núcleo. Atacan la extensión con carga pública. Las agencias con muchos sitios Joomla necesitan una lista de inventario: sitio, extensión, versión, accesible públicamente sí/no. Paralelamente al parche: revisar la carpeta de carga. Balbooa Forms coloca los archivos adjuntos típicamente bajo images/baforms/uploads/. iCagenda usa rutas bajo images/icagenda. Cualquier archivo .php inesperado allí es una señal de compromiso.

Joomla-Upload-KEV ahora

  • Escanear todos los sitios en iCagenda y Balbooa Forms y exportar versiones
  • Actualizar inmediatamente a la versión mínima, no esperar al período de mantenimiento
  • Comprobar la carpeta de carga en busca de archivos PHP y shells desconocidos; revisar la lista de superusuarios
  • Revisar los registros de POST a tareas de carga de baforms-/icagenda antes del momento del parche
  • WAF: bloquear cargas anónimas con extensiones ejecutables hasta que el inventario esté verde

Esta semana CISA también incluyó vulnerabilidades relacionadas de constructores de Joomla en el contexto KEV (según el resumen de Finder sobre Page Builder CK y SP Page Builder). El patrón es estable: puntos finales de formularios y AJAX anónimos sin una allowlist estricta. Los constructores de formularios y los plugins de eventos son la superficie de ataque, no solo las herramientas de contenido. Fuentes primarias: CISA-Alert 10.07.2026, changelogs de proveedores, análisis técnicos de mySites.guru.

Preguntas frecuentes

Cada pregunta está bloqueada. Un toque desbloquea la respuesta.

¿Es suficiente un core-update de Joomla?

No. Los huecos están en extensiones de terceros. Los parches del núcleo no sustituyen una actualización de extensión.

¿Solo están afectadas las autoridades estadounidenses?

KEV se compromete principalmente con US-FCEB. La explotación activa se extiende globalmente. Cualquier sitio Joomla accesible públicamente con las extensiones está en alcance.

¿Qué hacer si no es posible una actualización inmediata?

Desactivar formularios públicos con carga de archivos o retirar la extensión sin conexión. Luego revisar forensicamente, luego parchear.

¿Cuáles IoCs son prácticos?

Archivos PHP inesperados en images/baforms y images/icagenda, nuevos superusuarios, configuration.php modificada, rutas de webshell desconocidas.

¿Dónde está la fuente primaria?

Alerta KEV de CISA del 10.07.2026 sobre CVE-2026-48939 y CVE-2026-56291; changelogs de iCagenda 4.0.8/3.9.15 y Balbooa 2.4.1; análisis, entre otros, mySites.guru.

Selección de la redacción

RecomendadoBypass de JWT en SharePoint abre sitios localesRecomendadoVulnerabilidad de BitLocker ante acceso físico en 2026RecomendadoCuatro lagunas en el KEV: una de ellas desvía claves de la nube

Más de la red MBF Media

cloudmagazinAWS Cloud soberana: qué está realmente separadoMyBusinessFuturePasaporte digital de producto: qué deben hacer los fabricantes

Lectura adicional

Práctica e Implementación · 15 de julio de 2026

LegacyHive PoC afecta parches recientes de Windows

PoC público de escalada de privilegios en Windows LegacyHive tras el Patch Tuesday. Detección en carga de Hive y servicio de perfil de usuario, …

Práctica e Implementación · 15 de julio de 2026

Bypass de JWT en SharePoint abre sitios locales

CVE-2026-55040: bypass de JWT no autenticado en SharePoint, CVSS 9.1. Cadena Rapid7, parche de julio y checklist para administradores locales.

Una revista de Evernine Media GmbH