Два Joomla-уязвимости с CVSS 10.0 добавлены в KEV: дедлайн для FCEB — сегодня
Две уязвимости с оценкой CVSS 10.0 — максимально возможным баллом — были добавлены в каталог Known Exploited Vulnerabilities (KEV) агентства CISA на этой неделе. Обе обнаружены в сторонних расширениях Joomla. Одна из них, CVE-2026-48939 в плагине-календаре iCagenda, активно эксплуатируется в режиме zero-day с 15 июня 2026 года. Это означает, что у злоумышленников было примерно четыре недели форы перед защитниками — до момента, когда добавление в KEV вывело проблему на публичный уровень.
Цифры
Начнём с уровня критичности. Оценка CVSS 10.0 требует: вектор атаки через сеть, отсутствие аутентификации, отсутствие взаимодействия с пользователем, а также полное воздействие на конфиденциальность, целостность и доступность. Оба CVE-2026-48939 (iCagenda) и CVE-2026-56291 (Balbooa Forms) соответствуют этим критериям, как сообщает The Hacker News. Два показателя 10.0 в одной партии KEV, в одной CMS-экосистеме, за одну неделю — явление нетипичное. Для сравнения: подавляющее большинство добавлений в KEV за обычную неделю находятся в диапазоне 7.x–9.x, где хотя бы одно предварительное условие эксплуатации ограничивает радиус поражения.
Уязвимость iCagenda затрагивает версии 4.x вплоть до 4.0.7 включительно, а также устаревшие версии 3.x от 3.2.1 до 3.9.14. JoomliC выпустил исправления в версиях 4.0.8 и 3.9.15. Это диапазон версий, охватывающий годы установок, а конечная точка «Submit an Event» — именно тот тип функционала, о публичной доступности которого владельцы сайтов нередко забывают. Уязвимость в Balbooa Forms затрагивает все версии вплоть до 2.4.0 включительно, исправлена в 2.4.1. Описание от mySites.guru однозначно: фронтенд принимал загрузку файлов «от любого анонимного посетителя, без авторизации, без CSRF-токена и без проверки типа файла». Неаутентифицированное удалённое выполнение кода (RCE) через загрузку файлов — это наихудший класс веб-уязвимостей, а OWASP годами указывает на неограниченную загрузку как на один из главных серверных рисков (OWASP Top 10).
Хронология имеет значение. Эксплуатация CVE-2026-48939 началась 15 июня. CVE-2026-56291 был обнаружен 8 июля в ходе реальной атаки на клиента mySites.guru. Дедлайн FCEB в каталоге KEV — 13 июля 2026 года, тот же день, когда была опубликована исходная статья. Для федеральных гражданских агентств это означает нулевое окно для устранения, что на практике делает соблюдение срока большинством из них крайне маловероятным. Источник не раскрывает, сколько Joomla-инсталляций в среде FCEB используют iCagenda или Balbooa Forms — а это важно, поскольку реальная нагрузка на соответствие требованиям определяется количеством установок, а не числом CVE. Приблизительная оценка: если даже один процент FCEB-сайтов на Joomla использует одно из этих расширений, в течение 30 дней следует ожидать дополнительных предупреждений CISA со ссылками на инцидентные тикеты.
Что действительно нового
Технический класс уязвимости не является новым. Произвольная загрузка файлов, ведущая к выполнению PHP-шелла, — это хлеб и масло компрометации CMS со времён эпохи phpBB. По-настоящему новым является операционный след, зафиксированный mySites.guru: автоматизированный сканер, идентифицирующий себя как «icagenda-batch/1.0», который получал токен, отправлял вредоносный файл на конечную точку загрузки, а затем обращался к подброшенному шеллу по точному пути, по которому компонент записывает вложения. Это не оппортунистическое сканирование. Это целенаправленный эксплойт-модуль, осведомлённый о внутренних путях записи файлов в iCagenda и развёрнутый в масштабе до публичного раскрытия информации.
Параллельное предупреждение Австралийского центра кибербезопасности (ACSC) дополняет картину. ACSC описывает «масштабную глобальную кампанию эксплуатации», нацеленную на целый список CMS-уязвимостей: Sneeit Framework (CVE-2025-6389), WPBookit (CVE-2025-7852), Gravity Forms (CVE-2025-12352), Craft CMS (CVE-2025-32432), Ninja Forms (CVE-2026-0740), MaxSite CMS (CVE-2026-3395), Breeze Cache (CVE-2026-3844), WavePlayer (CVE-2025-12057), MetInfo CMS (CVE-2026-29014) и Joomla JCE (CVE-2026-48907). Это десять CVE в как минимум четырёх CMS-экосистемах, все ведущие к одной и той же тактике развёртывания веб-шеллов. В терминах MITRE ATT&CK это T1190 (эксплуатация публично доступного приложения) переходящее в T1505.003 (веб-шелл) — хорошо известная схема, однако именно агрегирование представляет наибольший интерес.
Формулировка ACSC показательна: «достижения в области ИИ ускоряют скорость и масштаб киберопераций, сокращая время между раскрытием уязвимости и её эксплуатацией». Агентство не даёт количественной оценки этому ускорению — и это пробел, заслуживающий отдельного внимания. Мы не знаем, действительно ли инструментарий для эксплойтов на основе ИИ сократил промежуток между 15 июня и 13 июля, или же речь идёт о случае, когда компетентный исследователь написал фаззер, который попал в цель. Граница такова: если разработка эксплойтов с помощью ИИ является движущей силой, среднее время до эксплуатации новых CMS-CVE должно опуститься ниже семи дней в течение следующих двух кварталов. Это проверяемое предсказание.
Что уже учтено командами по безопасности
Инженеры по безопасности, управляющие флотами сайтов на Joomla или WordPress, уже исходят из того, что плагины — это поверхность атаки, а не ядро CMS. Ядра и Joomla, и WordPress значительно усилились за последнее десятилетие; маркетплейсы расширений — нет. Это уже учтено.
Что, вероятно, ещё не учтено: скорость, с которой нишевые расширения превращаются в оружие. iCagenda — это плагин-календарь. Balbooa Forms — конструктор форм. Ни у того, ни у другого нет такой базы установок, как, скажем, у Elementor или Gravity Forms. Злоумышленники больше не гонятся исключительно за десятью самыми популярными плагинами. Они проводят широкую разведку по всему «длинному хвосту» CMS-расширений, и как только уязвимая точка загрузки файлов появляется в чьём-то журнале доступа, она попадает в ротацию сканеров. User agent «icagenda-batch/1.0» однозначно свидетельствует о том, что кто-то использует отдельный инструментарий эксплойтов для каждого плагина как часть портфеля.
Также недооценена нагрузка на гигиену IOC. Владельцам сайтов рекомендуется проверить images/icagenda/frontend/attachments/ и images/baforms/uploads на наличие посторонних PHP-файлов, а также проверить учётные записи администраторов Joomla на предмет незнакомых записей. Для небольшого агентства это приемлемо. Для хостинг-провайдера, управляющего десятками тысяч Joomla-инсталляций, или команды общих сервисов крупной организации — это задача по написанию скриптов, на которую никто не закладывал бюджет. Источник не раскрывает, публиковал ли какой-либо хостинг-провайдер результаты массового сканирования — а это был бы самый быстрый способ оценить реальное количество компрометаций. Ожидаемая оценка: если крупный хостинг опубликует данные в течение двух недель, число скомпрометированных сайтов окажется в районе нескольких тысяч. Если никто не сообщит — предполагайте, что цифра неудобно высокая.
Контраргумент
Очевидный вывод — что расширения для CMS безнадёжно опасны и предприятиям следует мигрировать с Joomla и WordPress. Я бы поспорил с этим. Класс уязвимости здесь — неаутентифицированная загрузка файлов без проверки MIME и без CSRF-токена — это ошибка первого курса по веб-безопасности. Это не проблема Joomla, это проблема конкретных плагинов, и JoomliC с Balbooa оба выпустили патчи в рамках окна раскрытия. Основной проект Joomla здесь не причастен.
Контрагрументный вопрос: действительно ли вывод всех CMS из эксплуатации снизит риск — или просто перенесёт его в кастомные веб-приложения, несущие те же категории OWASP-ошибок, но без преимуществ публичного процесса CVE, который их выявляет? Пропатченная, контролируемая установка Joomla с грамотной политикой в отношении расширений, вероятно, безопаснее, чем непроверенная самописная CMS, написанная командой из трёх человек в 2019 году. Реальное решение — это список разрешённых плагинов плюс автоматизированные пайплайны патчинга, а не замена системы целиком. Что мы не знаем из источника: было ли у клиентов mySites.guru автоматическое обновление настроено в момент атаки — эти данные могли бы окончательно разрешить спор.
Ключевые выводы
- Два расширения Joomla с CVSS 10.0 активно эксплуатируются; немедленно обновите iCagenda до версии 4.0.8 или 3.9.15, а Balbooa Forms — до версии 2.4.1.
- CVE-2026-48939 эксплуатируется с 15 июня 2026 года — примерно за четыре недели до добавления в KEV. Считайте любую непропатченную инсталляцию уже скомпрометированной и ищите шеллы в задокументированных путях загрузки.
- Кампания ACSC охватывает десять CVE в Joomla, WordPress, Craft, MaxSite и MetInfo. Нишевые расширения превращаются в оружие на уровне портфеля, а не только плагины с наибольшей долей рынка.
- Открытый вопрос с проверяемой границей: если инструментарий эксплойтов на основе ИИ действительно ускоряет вооружение уязвимостей, среднее время до эксплуатации новых CMS-CVE должно упасть ниже семи дней в течение двух кварталов. Следите за этим.
- Сигнал соответствия: дедлайн FCEB — 13 июля 2026 года — совпадает с датой публикации. Ожидайте дополнительных руководств CISA в течение 30 дней, если Joomla-инсталляции в федеральном секторе не являются незначительными.
Часто задаваемые вопросы
В: Что такое CVE-2026-48939 и CVE-2026-56291?
Это две уязвимости максимальной критичности (CVSS 10.0) в расширениях Joomla. CVE-2026-48939 — уязвимость произвольной загрузки файлов в форме «Submit an Event» расширения-календаря iCagenda, а CVE-2026-56291 — уязвимость неаутентифицированной загрузки файлов в Balbooa Forms. Обе ведут к удалённому выполнению кода.
В: Какие версии затронуты и где найти исправления?
CVE-2026-48939 затрагивает iCagenda 4.x вплоть до 4.0.7 и устаревшие версии 3.x от 3.2.1 до 3.9.14; исправлено в версиях 4.0.8 и 3.9.15 от JoomliC. CVE-2026-56291 затрагивает Balbooa Forms вплоть до версии 2.4.0 включительно; исправлено в версии 2.4.1.
В: Как владельцам сайтов проверить наличие компрометации?
Проверьте папку вложений iCagenda по пути images/icagenda/frontend/attachments/ и папку загрузок Balbooa Forms по пути images/baforms/uploads на наличие подозрительных PHP-файлов. Также проверьте список пользователей Joomla на предмет незнакомых учётных записей администраторов и просмотрите недавно изменённые PHP-файлы на всём сайте.
Взлом базы данных DHS и новый цикл патчей Adobe меняют облик недели в сфере безопасности
Иск аффилиата Ryuk на $15 млн, 7 миллионов записей из AssuranceAmerica и Adobe удваивает частоту патчей. Неделя, когда ИИ сдвинул часы защитников.
AI-шлюзы становятся новой поверхностью атаки в облаке
Скомпрометированный LiteLLM-прокси на AWS принёс атакующим доход от криптомайнинга и возможный доступ к Bedrock. Экономика безопасности AI-шлюзов изменилась навсегда.
Одиночный хакер взломал AWS за 72 часа с помощью агентного ИИ
По данным Sygnia, одиночный злоумышленник использовал агентный ИИ для взлома AWS и вымогательства у глобальной компании всего за 72 часа. Что это меняет для защитников?




