Skip to content
RiverCore
Zwei Joomla-Zero-Days mit CVSS 10.0 im KEV – FCEB-Frist endet heute
Joomla zero-dayKEV catalogCVSS 10.0Joomla extension exploit patch deadlineCISA known exploited vulnerabilities Joomla

Zwei Joomla-Zero-Days mit CVSS 10.0 im KEV – FCEB-Frist endet heute

13 Jul 20266 Min. LesezeitSarah Chen

Zwei CVSS-10.0-Schwachstellen – die höchste vom Bewertungssystem vorgesehene Punktzahl – sind diese Woche in CISAs Katalog bekannter ausgenutzter Schwachstellen (Known Exploited Vulnerabilities, KEV) aufgenommen worden, beide in Joomla-Erweiterungen von Drittanbietern. Eine davon, CVE-2026-48939 im iCagenda-Kalender-Plugin, wird seit dem 15. Juni 2026 aktiv als Zero-Day ausgenutzt – das bedeutet, Angreifer hatten einen Vorsprung von rund vier Wochen gegenüber Verteidigern, bevor die KEV-Aufnahme das Problem öffentlich machte.

Die Zahlen

Beginnen wir mit dem Schweregrad. Ein CVSS-Score von 10.0 setzt einen netzwerkbasierten Angriffsvektor, keine Authentifizierung, keine Benutzerinteraktion sowie vollständige Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit voraus. Sowohl CVE-2026-48939 (iCagenda) als auch CVE-2026-56291 (Balbooa Forms) erfüllen diese Kriterien, wie The Hacker News berichtete. Zwei 10.0-Bewertungen im selben KEV-Paket, im selben CMS-Ökosystem, in derselben Woche – das ist ungewöhnlich. Zum Vergleich: Die überwiegende Mehrheit der KEV-Ergänzungen in einer typischen Woche liegt im Bereich 7,x bis 9,x, wo mindestens eine Ausnutzungsvoraussetzung den Schadensradius begrenzt.

Die iCagenda-Lücke betrifft 4.x-Versionen bis einschließlich 4.0.7 sowie Legacy-3.x-Versionen von 3.2.1 bis 3.9.14. JoomliC hat Fixes in 4.0.8 und 3.9.15 veröffentlicht. Das ist eine Versionsspanne über Jahre von Installationen, und der „Submit an Event"-Endpunkt ist genau die Art von Funktion, die Website-Betreiber vergessen, die öffentlich erreichbar ist. Der Balbooa-Forms-Bug betrifft alles bis einschließlich 2.4.0, gepatcht in 2.4.1, und der mySites.guru-Bericht ist unmissverständlich: Das Frontend-Upload akzeptierte Dateien „von jedem anonymen Besucher, ohne Login, ohne CSRF-Token und ohne Prüfung des Dateityps." Unauthentifizierte RCE per Dateiupload ist die schlimmste Klasse von Web-Schwachstellen, und OWASP hat uneingeschränkte Uploads seit Jahren als Top-serverseitiges Risiko eingestuft (OWASP Top 10).

Der zeitliche Ablauf ist entscheidend. Die Ausnutzung von CVE-2026-48939 begann am 15. Juni. CVE-2026-56291 wurde am 8. Juli entdeckt, nach einem Live-Angriff auf einen mySites.guru-Kunden. Die FCEB-Frist im KEV-Katalog ist der 13. Juli 2026, derselbe Tag, an dem der Artikel veröffentlicht wurde. Das ist ein Null-Tage-Behebungsfenster für zivile Bundesbehörden – in der Praxis bedeutet das, dass die meisten davon die Frist nicht einhalten werden. Die Quelle gibt nicht preis, wie viele Joomla-Installationen iCagenda oder Balbooa Forms in FCEB-Umgebungen nutzen, was relevant ist, da die tatsächliche Compliance-Last eine Funktion der Installationsanzahl ist, nicht der CVE-Anzahl. Grobe Schätzung: Wenn selbst ein Prozent der FCEB-Joomla-Sites eine der beiden Erweiterungen nutzt, sollten wir innerhalb von 30 Tagen CISA-Folgehinweise mit Bezug auf Vorfalltickets sehen.

Was wirklich neu ist

Die technische Fehlerklasse ist nicht neu. Beliebige Dateiuploads, die zur Ausführung von PHP-Shells führen, sind seit der phpBB-Ära das Standardwerkzeug zur CMS-Kompromittierung. Was hier tatsächlich anders ist, ist der operative Fingerabdruck, den mySites.guru beobachtet hat: ein automatisierter Scanner, der sich als „icagenda-batch/1.0" identifiziert, ein Token abgerufen, einen schädlichen Upload an den Submit-Endpunkt gesendet und dann die platzierte Shell genau unter dem Pfad abgerufen hat, unter dem die Komponente Anhänge speichert. Das ist kein opportunistisches Scanning. Das ist ein zweckgebundenes Exploit-Modul mit Kenntnis der internen Datei-Schreibpfade von iCagenda, das vor der öffentlichen Offenlegung im großen Maßstab eingesetzt wurde.

Die parallele Warnung des Australian Cyber Security Centre (ACSC) schärft das Bild. ACSC beschreibt eine „hochgradig skalierte globale Ausbeutungskampagne", die auf eine Einkaufsliste von CMS-Bugs abzielt: Sneeit Framework (CVE-2025-6389), WPBookit (CVE-2025-7852), Gravity Forms (CVE-2025-12352), Craft CMS (CVE-2025-32432), Ninja Forms (CVE-2026-0740), MaxSite CMS (CVE-2026-3395), Breeze Cache (CVE-2026-3844), WavePlayer (CVE-2025-12057), MetInfo CMS (CVE-2026-29014) und Joomla JCE (CVE-2026-48907). Das sind zehn CVEs über mindestens vier CMS-Ökosysteme, die alle in dieselbe Web-Shell-Deployment-TTP münden. Auf MITRE ATT&CK abgebildet, ist dies T1190 (Exploit Public-Facing Application) in T1505.003 (Web Shell) – bekanntes Terrain, aber die Aggregation ist das Interessante.

Die Formulierung des ACSC ist aufschlussreich: „Fortschritte bei KI beschleunigen die Geschwindigkeit und den Umfang von Cyberoperationen und verkürzen die Zeit zwischen Schwachstellenoffenlegung und Ausnutzung." Die Behörde quantifiziert diese Beschleunigung nicht, was eine erwähnenswerte Lücke ist. Wir wissen nicht, ob KI-generiertes Exploit-Tooling das Fenster vom 15. Juni bis 13. Juli tatsächlich verkürzt hat, oder ob dies der Fall eines kompetenten menschlichen Forschers ist, der einen Fuzzer geschrieben hat, der zufällig getroffen hat. Die Schlussfolgerung lautet: Wenn KI-gestützte Exploit-Entwicklung der Treiber ist, sollte die mittlere Zeit bis zur Ausnutzung neuer CMS-CVEs innerhalb der nächsten zwei Quartale unter sieben Tage fallen. Das ist eine überprüfbare Vorhersage.

Was Sicherheitsteams bereits einkalkuliert haben

Sicherheitsingenieure, die Joomla- oder WordPress-Flotten betreiben, gehen bereits davon aus, dass Plugins die Angriffsfläche darstellen, nicht das CMS-Kernsystem. Sowohl der Joomla- als auch der WordPress-Kern wurden im letzten Jahrzehnt erheblich gehärtet; die Erweiterungs-Marktplätze hingegen nicht. Das ist bereits eingepreist.

Was wahrscheinlich noch nicht eingepreist ist: die Geschwindigkeit, mit der Nischen-Erweiterungen als Waffe eingesetzt werden. iCagenda ist ein Kalender-Plugin. Balbooa Forms ist ein Formular-Builder. Keines davon hat die Installationsbasis von, sagen wir, Elementor oder Gravity Forms. Angreifer jagen nicht mehr nur den Top-Ten-Plugins nach Marktanteil hinterher. Sie führen eine breite Aufklärung über den Long Tail der CMS-Erweiterungen durch, und sobald ein anfälliger Dateiupload-Endpunkt irgendwo in einem Zugriffsprotokoll erscheint, wird er in die Scanner-Rotation aufgenommen. Der User-Agent „icagenda-batch/1.0" verrät, dass jemand pro-Plugin-Exploit-Tooling als Portfolio betreibt.

Ebenfalls unterbewertet: die IOC-Hygiene-Last. Website-Betreibern wird empfohlen, images/icagenda/frontend/attachments/ und images/baforms/uploads auf unerwünschte PHP-Dateien zu prüfen und Joomla-Admin-Konten auf unbekannte Einträge zu auditieren. Das ist für eine kleine Behörde in Ordnung. Für einen Hosting-Anbieter, der Zehntausende von Joomla-Instanzen betreibt, oder ein Shared-Services-Team in einer großen Organisation ist es eine Scripting-Übung, für die niemand ein Budget eingeplant hat. Die Quelle gibt nicht an, ob ein Hosting-Anbieter ein flotten-weites Scan-Ergebnis veröffentlicht hat, was der schnellste Weg wäre, die tatsächliche Kompromittierungsanzahl abzuschätzen. Erwartete Grenze: Wenn ein großer Shared Host innerhalb von zwei Wochen Daten meldet, liegen die kompromittierten Seitenzahlen im niedrigen Tausenderbereich. Wenn niemand berichtet, ist die Zahl wahrscheinlich unangenehm höher.

Die Gegenmeinung

Die naheliegende Lesart ist, dass CMS-Erweiterungen unwiderruflich gefährlich sind und Unternehmen von Joomla und WordPress migrieren sollten. Dem würde ich widersprechen. Die Schwachstellenklasse hier – unauthentifizierter Dateiupload ohne MIME-Prüfung und ohne CSRF-Token – ist ein Fehler aus dem ersten Jahr der Web-Sicherheit. Es ist kein Joomla-Problem, es ist ein spezifisches Plugin-Problem, und JoomliC und Balbooa haben beide innerhalb des Offenlegungsfensters Patches veröffentlicht. Das Joomla-Kernprojekt ist nicht beteiligt.

Die Gegenfrage ist, ob das Entfernen aller CMS aus der Produktion das Risiko tatsächlich reduziert oder es nur in maßgefertigte Web-Apps verlagert, die dieselben OWASP-Kategoriefehler aufweisen, ohne den Vorteil eines öffentlichen CVE-Prozesses, der sie ans Licht bringt. Eine gepatchte, überwachte Joomla-Installation mit einer disziplinierten Erweiterungsrichtlinie ist wahrscheinlich sicherer als ein ungeprüftes, maßgeschneidertes CMS, das 2019 von einer dreiköpfigen Agentur geschrieben wurde. Der eigentliche Fix ist eine Plugin-Allowlist plus automatisierte Patch-Pipelines, kein Abreißen und Neuaufbau. Was wir aus der Quelle nicht erfahren, ist, ob ein mySites.guru-Kunde eine automatisierte Update-Richtlinie hatte, als er betroffen war; diese Daten würden die Diskussion beenden.

Wichtigste Erkenntnisse

  • Zwei Joomla-Erweiterungslücken mit CVSS 10.0 werden aktiv ausgenutzt; iCagenda sofort auf 4.0.8 oder 3.9.15 und Balbooa Forms auf 2.4.1 aktualisieren.
  • CVE-2026-48939 wird seit dem 15. Juni 2026 ausgenutzt – rund vier Wochen vor der KEV-Aufnahme. Gehen Sie davon aus, dass jede ungepatchte Instanz bereits kompromittiert ist, und suchen Sie in den dokumentierten Upload-Pfaden nach Shells.
  • Die ACSC-Kampagne umfasst zehn CVEs über Joomla, WordPress, Craft, MaxSite und MetInfo. Long-Tail-Erweiterungen werden im Portfolio-Maßstab als Waffe eingesetzt, nicht nur Top-Marktanteil-Plugins.
  • Offene Frage mit überprüfbarer Grenze: Wenn KI-gestütztes Exploit-Tooling tatsächlich eine schnellere Bewaffnung vorantreibt, sollte die mittlere Zeit bis zur Ausnutzung neuer CMS-CVEs innerhalb von zwei Quartalen unter sieben Tage fallen. Beobachten Sie dies.
  • Compliance-Signal: Die FCEB-Frist vom 13. Juli 2026 fällt auf den Veröffentlichungstag. Erwarten Sie innerhalb von 30 Tagen CISA-Folgeguidance, wenn föderale Joomla-Installationen nennenswert sind.

Häufig gestellte Fragen

F: Was sind CVE-2026-48939 und CVE-2026-56291?

Es handelt sich um zwei Schwachstellen mit maximalem Schweregrad (CVSS 10.0) in Joomla-Erweiterungen. CVE-2026-48939 ist eine beliebige Dateiupload-Lücke im „Submit an Event"-Formular der iCagenda-Kalender-Erweiterung, und CVE-2026-56291 ist eine unauthentifizierte Dateiupload-Lücke in Balbooa Forms – beide ermöglichen Remote Code Execution.

F: Welche Versionen sind betroffen und wo gibt es die Fixes?

CVE-2026-48939 betrifft iCagenda 4.x bis 4.0.7 und Legacy-3.x von 3.2.1 bis 3.9.14, behoben in 4.0.8 und 3.9.15 durch JoomliC. CVE-2026-56291 betrifft Balbooa Forms bis einschließlich 2.4.0, gepatcht in 2.4.1.

F: Wie können Website-Betreiber eine Kompromittierung prüfen?

Untersuchen Sie den iCagenda-Anhangsordner unter images/icagenda/frontend/attachments/ und den Balbooa-Forms-Upload-Ordner unter images/baforms/uploads auf verdächtige PHP-Dateien. Prüfen Sie außerdem die Joomla-Benutzerliste auf unbekannte Administratorkonten und überprüfen Sie kürzlich geänderte PHP-Dateien auf der gesamten Website.

SC
Sarah Chen
RiverCore Analyst · Dublin, Ireland
TEILEN
// ÄHNLICHE ARTIKEL
StartseiteLösungenProjekteÜber unsKontakt
News06
Dublin, Irland · EUGMT+1
LinkedIn
🇩🇪DE