Die erste Schwachstelle wird als CVE-2026-48939 geführt und betrifft die Joomla-Erweiterung iCagenda. Der Fehler erlaubt das uneingeschränkte Hochladen gefährlicher Dateitypen über die Funktion für Dateianhänge. In ihrem Eintrag im KEV-Katalog warnt CISA, iCagenda enthalte eine Schwachstelle, die das Hochladen beliebiger Dateien ermögliche und letztlich zum Hochladen und Ausführen von PHP-Code führe.

Laut CISA können Angreifer dadurch beliebige Dateien auf den Webserver laden, darunter auch PHP-Skripte. Die Behörde nennt als Folge unter anderem Diebstahl von Daten, die Installation von Web-Shells und die vollständige Kompromittierung einer Website durch Remotecodeausführung.

Die zweite von CISA in den KEV-Katalog aufgenommene Lücke ist CVE-2026-56291 in Balbooa Forms für Joomla. Bei Balbooa Forms handelt es sich um einen Formularbaukasten mit Drag-and-drop-Funktion, der für Kontaktformulare auf Joomla-Seiten genutzt wird und Dateiuploads unterstützt. Nach Angaben von CISA kann genau diese Funktion dazu missbraucht werden, gefährliche Dateitypen wie ausführbare Dateien hochzuladen, was wiederum Remotecodeausführung und die vollständige Übernahme einer Website ermöglichen kann.

Nach Angaben der Website-Management- und Sicherheitsplattform mySites.guru wurden beide Schwachstellen bereits in automatisierten Angriffen ausgenutzt, bevor Hersteller einen Patch veröffentlichten. Bei iCagenda seien Angriffe nur wenige Stunden vor der Veröffentlichung von Version 4.0.8 beobachtet worden; diese Version behebt CVE-2026-48939.

Für Balbooa Forms spricht mySites.guru von einer Ausnutzung als Zero-Day. Die Schwachstelle CVE-2026-56291 sei seit dem 8. Juli in Angriffen verwendet worden, einen Tag bevor der Hersteller eine Korrektur bereitstellte.

Behoben sind die Fehler nach den vorliegenden Angaben in iCagenda 4.0.8 und 3.9.15, veröffentlicht am 15. und 16. Juni, sowie in Balbooa Forms 2.4.1, veröffentlicht am 9. Juli. Administratoren von Joomla-Websites sollten prüfen, ob iCagenda oder Balbooa Forms im Einsatz sind, und gegebenenfalls Maßnahmen zum Schutz ihrer Systeme ergreifen.