Die erste der beiden Lücken betrifft Balbooa Forms. Der Fehler wird als CVE-2026-56291 geführt und hat einen CVSS-Wert von 10. Beschrieben wird er als nicht authentifizierter beliebiger Datei-Upload über den Frontend-Endpunkt der Erweiterung für Anhang-Uploads. Nach Angaben im Quelltext haben Angreifer die Schwachstelle bereits als Zero-Day ausgenutzt.
Balbooa Forms 2.4.1 wurde mit einem Patch für die Lücke veröffentlicht. Verwundbar sind alle Websites, auf denen Balbooa Forms 2.4.0 oder älter läuft. Wegen der aktiven Ausnutzung sei sofortiges Handeln durch Administratoren erforderlich, heißt es im Quelltext.
Die zweite Schwachstelle steckt in iCagenda für Joomla. Sie wurde im Juni entdeckt und wird als CVE-2026-48939 mit einem CVSS-Wert von 10 geführt. Auch hier handelt es sich um eine vergleichbare Schwachstelle für beliebige Datei-Uploads in der Funktion für Dateianhänge.
Wie bei Balbooa Forms erlaubt der Fehler in iCagenda das Hochladen von PHP-Code auf eine verwundbare Installation und damit eine Remotecodeausführung ohne Authentifizierung. JoomliC, der Entwickler von iCagenda, hat laut Quelltext beobachtet, dass auch diese CVE am 15. Juni als Zero-Day ausgenutzt wurde. Patches stellte der Entwickler am 15. und 16. Juni in den Versionen iCagenda 4.0.8 und 3.9.15 bereit.
Am 10. Juli nahm CISA beide Joomla-Schwachstellen in den Katalog der bekannten ausgenutzten Schwachstellen, den Known Exploited Vulnerabilities Catalog, auf. Die Behörde forderte Bundesbehörden auf, die Lücken innerhalb von drei Tagen zu schließen. Grundlage dafür ist die Vorgabe BOD 26-04.
Der Quelltext weist zugleich darauf hin, dass BOD 26-04 zwar nur für Bundesbehörden gilt, CISA aber allen Organisationen empfiehlt, die KEV-Liste zu prüfen und die dort aufgeführten Schwachstellen so schnell wie möglich zu beheben. Im Zentrum der Warnung stehen damit zwei bereits missbrauchte Joomla-Erweiterungen, deren Fehler ohne Anmeldung zur Ausführung von Code auf dem Zielsystem führen können.
