CISA hat die Schwachstellen CVE-2026-48939 und CVE-2026-56291 in den Known Exploited Vulnerabilities-Katalog aufgenommen. Beide Lücken betreffen Joomla-Erweiterungen und sind mit 10,0 von 10 Punkten im CVSS bewertet.
Nach Angaben von mySites.guru wird CVE-2026-48939 seit dem 15. Juni 2026 als Zero-Day in automatisierten Angriffen auf Joomla-Seiten mit installiertem iCagenda ausgenutzt. Die Schwachstelle steckt in der Funktion „Submit an Event“, über die Nutzer Termine für den Kalender vorschlagen können.
mySites.guru zufolge tauchte der Angriff zunächst im Zugriffsprotokoll eines Kunden auf. Dort habe ein automatisierter Scanner mit der Kennung „icagenda-batch/1.0“ ein Token abgegriffen, anschließend einen schädlichen Upload an den Einsende-Endpunkt gesendet und danach die platzierte Shell genau unter dem Pfad abgerufen, in den die Komponente Anhänge schreibt.
JoomliC hat nach Angaben im Quelltext Updates für iCagenda 4.0.8 und 3.9.15 veröffentlicht. Betreiber sollen zudem nach verdächtigen PHP-Dateien im Ordner „images/icagenda/frontend/attachments/“ suchen und diese entfernen.
Auch CVE-2026-56291 wird laut mySites.guru bereits als Zero-Day ausgenutzt. Die Lücke betrifft Balbooa Forms bis einschließlich Version 2.4.0 und wurde in Version 2.4.1 behoben.
mySites.guru beschreibt die Ursache so: Bis einschließlich Version 2.4.0 habe der Upload von Anhängen im Frontend eine gravierende Schwachstelle enthalten. Die Funktion habe Dateien von beliebigen anonymen Besuchern akzeptiert – ohne Anmeldung, ohne CSRF-Token und ohne Prüfung des Dateityps. Dadurch konnten Angreifer eine PHP-Datei in ein öffentlich erreichbares Verzeichnis hochladen und anschließend ausführen, also eine nicht authentifizierte Remotecodeausführung erreichen.
Entdeckt wurde die Schwachstelle laut mySites.guru am 8. Juli 2026 nach einer Live-Attacke auf einen Kunden. Das Unternehmen veröffentlichte dazu auch Kompromittierungsindikatoren.
Wegen der aktiven Ausnutzung müssen Behörden der Federal Civilian Executive Branch die verfügbaren Korrekturen bis zum 13. Juli 2026 in ihren Netzwerken einspielen.
Die Aufnahme in den KEV-Katalog fällt mit einer Warnung des Australian Cyber Security Centre zusammen. Die Behörde berichtet von einer globalen Ausnutzungskampagne, die verschiedene Schwachstellen in Content-Management-Systemen und Plugins angreift.
Nach Angaben des ACSC scannen böswillige Akteure Websites aktiv nach Gelegenheiten, Web-Shells zu platzieren, und nutzen dafür unterschiedliche Schwachstellen in CMS-Software und Plugins aus. Diese Lücken ermöglichten vor allem nicht authentifizierte Datei-Uploads, Remotecodeausführung, serverseitige Anfragenfälschung oder Deserialisierung. Einmal installiert, dienten die Web-Shells dem Fernzugriff und der Fernsteuerung der angegriffenen Webserver. Das ACSC erklärte zudem, die groß angelegte globale Kampagne zeige das sich schnell wandelnde Cyberrisiko für Organisationen; Fortschritte bei KI beschleunigten Tempo und Reichweite solcher Operationen und verkürzten die Zeit zwischen Offenlegung und Ausnutzung von Schwachstellen.
