Deux vulnérabilités Joomla ajoutées au catalogue CISA KEV
La CISA a ajouté le 10 juillet 2026 deux vulnérabilités non authentifiées de type file upload issues d’extensions Joomla à son catalogue des vulnérabilités exploitées (KEV) : CVE-2026-48939 (iCagenda) et CVE-2026-56291 (Balbooa Forms). Ces deux failles permettent une exécution de code à distance. Pour les administrateurs, l’identification des actifs (asset discovery) prime avant toute application de correctifs.
Points clés
- KEV depuis le 10.07.2026. iCagenda et Balbooa Forms font l’objet d’une exploitation sauvage confirmée.
- Niveau de correctif exigeant. iCagenda 4.0.8 / 3.9.15 ; Balbooa Forms 2.4.1 ou version ultérieure.
- Indicateurs de compromission dans les dossiers de téléversement. La présence de fichiers PHP dans images/icagenda ou images/baforms constitue un signal d’alerte.
- Inventaire prioritaire. Quelles sont les versions des extensions déployées sur vos sites ? Sans cette liste, l’application des correctifs relève du hasard.
Articles associés :
Quatre vulnérabilités dans le KEV, dont une permettant l’extraction de clés cloud /
Faille d’upload dans Squidex
Ce que le CISA a ajouté au KEV le 10 juillet
Qu’est-ce que l’upload KEV pour Joomla ? Une extension tierce permettant un téléversement non authentifié de types de fichiers dangereux. Le CVE-2026-48939 concerne iCagenda (com_icagenda) via la soumission publique d’événements. Le CVE-2026-56291 touche Balbooa Forms (com_baforms) : téléversement en front-end sans authentification, sans vérification CSRF et sans liste blanche des extensions jusqu’à la version 2.4.0 incluse.
Définition · KEV-Upload-RCE
Une interface de téléversement accessible publiquement accepte des fichiers exécutables sans authentification. L’attaquant dépose un fichier PHP et obtient une exécution de code à distance sur le serveur web.
Selon les sources de divulgation, les deux vulnérabilités sont des zero-days en cours d’exploitation active. Le CISA les classe comme « Unrestricted Upload of File with Dangerous Type ». Pour les agences fédérales américaines, la directive BOD 26-04 impose une correction prioritaire. Pour les exploitants DACH, le KEV n’a pas de caractère obligatoire, mais constitue un signal fort de priorisation.
Niveaux de correctifs et versions concernées
iCagenda : selon mySites.guru, les versions concernées sont comprises entre la 3.2.1 et la 3.9.14 ainsi que les versions 4.0.0 à 4.0.7. Le correctif est disponible dans la version 4.0.8 (publiée le 15 juin 2026) et dans la branche Legacy 3.9.15 (publiée le 16 juin 2026). La gravité de cette vulnérabilité est critique (score Finder-Matrix souvent à 9,8, voire 10,0 dans certaines discussions).
Balbooa Forms : les versions concernées vont jusqu’à la 2.4.0 incluse. Le correctif est disponible dans la version 2.4.1 (publiée le 9 juillet 2026), avec un score CVSS 4.0 de 10,0 selon Finder. Le fichier des modifications (changelog) listait initialement les mesures sous la rubrique « Fixed » sans mention explicite de sécurité. Les utilisateurs filtrant uniquement les entrées contenant le terme « security » risquent donc de passer à côté du correctif.
Inventaire, indicateurs de compromission (IoCs) et checklist
Les campagnes de CMS ciblent rarement le cœur du système en premier. Elles visent généralement les extensions dotées d’une fonction de téléversement public. Les agences gérant de nombreux sites Joomla ont tout intérêt à établir une liste d’inventaire : site, extension, version, et accessibilité publique (oui/non). En parallèle du correctif, il est crucial de vérifier les dossiers de téléversement. Balbooa Forms stocke généralement ses pièces jointes dans le chemin images/baforms/uploads/, tandis que iCagenda utilise images/icagenda. Toute présence inattendue d’un fichier .php dans ces répertoires doit être considérée comme un signe de compromission.
KEV Joomla-Upload en urgence
- ✓Scanner tous les sites utilisant iCagenda et Balbooa Forms, puis exporter les versions installées
- ✓Mettre à jour immédiatement les versions inférieures aux versions minimales requises, sans attendre la prochaine fenêtre de maintenance
- ✓Vérifier les dossiers de téléversement pour détecter la présence de fichiers PHP ou de shells inconnus ; consulter la liste des super-utilisateurs
- ✓Analyser les logs pour repérer les requêtes POST vers les tâches de téléversement de baforms/icagenda antérieures à l’application du correctif
- ✓Configurer le WAF (Web Application Firewall) pour bloquer les téléversements anonymes avec extensions exécutables jusqu’à ce que l’inventaire soit validé
La même semaine, la CISA (Cybersecurity and Infrastructure Security Agency) a également intégré des vulnérabilités liées aux constructeurs de sites Joomla dans son catalogue KEV (Known Exploited Vulnerabilities), selon un récapitulatif des découvertes concernant Page Builder CK et SP Page Builder. Le schéma est récurrent : des points d’accès anonymes pour les formulaires et requêtes AJAX, dépourvus de liste blanche stricte. Les plugins de construction de formulaires et d’événements représentent une surface d’attaque, au même titre que les outils de gestion de contenu. Sources principales : alerte CISA du 10 juillet 2026, changelogs des éditeurs, et analyses techniques de mySites.guru.
Foire aux questions
Chaque question est verrouillée. Un clic déverrouille la réponse.
Une mise à jour du cœur de Joomla suffit-elle ?
Non. Les failles se situent dans les extensions tierces. Les correctifs du cœur ne remplacent pas une mise à jour des extensions.
Seules les autorités américaines sont-elles concernées ?
Le KEV (Catalogue des vulnérabilités exploitées connues) cible principalement les FCEB (fédérations civiles exécutives) américaines. Une exploitation active est considérée comme mondiale. Chaque site Joomla accessible publiquement utilisant ces extensions est concerné.
Que faire si une mise à jour immédiate n’est pas possible ?
Désactiver les formulaires publics avec téléversement de fichiers ou mettre l’extension hors ligne. Puis procéder à une analyse forensique avant d’appliquer le correctif.
Quelles IoC sont pertinentes en pratique ?
Fichiers PHP inattendus dans images/baforms et images/icagenda, nouveaux super-utilisateurs, fichier configuration.php modifié, chemins inconnus vers des webshells.
Où se trouve la source primaire ?
L’alerte CISA KEV du 10.07.2026 concernant les CVE-2026-48939 et CVE-2026-56291 ; les journaux de modifications des versions iCagenda 4.0.8/3.9.15 et Balbooa 2.4.1 ; analyse notamment par mySites.guru.
Les choix de la rédaction
À lireContournement JWT SharePoint : sites locaux exposésÀ lireContournement de BitLocker en cas d’accès physiqueÀ lireQuatre failles dans le KEV – l’une extrait des clés cloud
Plus du réseau MBF Media
cloudmagazinAWS Sovereign Cloud : ce qui est vraiment séparé



