Skip to content
RiverCore
Два Joomla Zero-Day з CVSS 10.0 потрапили до KEV — дедлайн для FCEB вже сьогодні
Joomla zero-dayKEV catalogCVSS 10.0Joomla extension exploit patch deadlineCISA known exploited vulnerabilities Joomla

Два Joomla Zero-Day з CVSS 10.0 потрапили до KEV — дедлайн для FCEB вже сьогодні

13 лип 20266 хв. читанняSarah Chen

Дві вразливості з оцінкою CVSS 10.0 — максимальний бал, який допускає система оцінювання — потрапили до каталогу Known Exploited Vulnerabilities (KEV) від CISA цього тижня. Обидві стосуються сторонніх розширень Joomla. Одна з них, CVE-2026-48939 у плагіні календаря iCagenda, активно експлуатується як zero-day з 15 червня 2026 року — це означає, що зловмисники мали приблизно чотири тижні фори перед захисниками, перш ніж внесення до KEV винесло проблему на загал.

Цифри

Почнемо зі ступеня серйозності. Оцінка CVSS 10.0 вимагає мережевого вектора атаки, відсутності автентифікації, відсутності взаємодії з користувачем і повного впливу на конфіденційність, цілісність та доступність. CVE-2026-48939 (iCagenda) і CVE-2026-56291 (Balbooa Forms) відповідають цій планці, як повідомляє The Hacker News. Два 10.0 в одному пакеті KEV, в одній екосистемі CMS, протягом одного тижня — це незвично. Для порівняння: переважна більшість доповнень до KEV у звичайний тиждень знаходиться в діапазоні 7.x–9.x, де принаймні одна передумова для експлуатації обмежує масштаб ураження.

Вразливість iCagenda стосується версій 4.x до 4.0.7 включно, а також застарілих версій 3.x від 3.2.1 до 3.9.14. JoomliC випустив виправлення у версіях 4.0.8 та 3.9.15. Це діапазон версій, що охоплює роки інсталяцій, а ендпойнт "Submit an Event" — саме той тип функції, про публічну доступність якої власники сайтів нерідко забувають. Помилка Balbooa Forms стосується всіх версій до 2.4.0 включно, виправлено у 2.4.1, а в матеріалі mySites.guru сказано відверто: фронтенд-завантаження приймало файли "від будь-якого анонімного відвідувача, без входу в систему, без CSRF-токена і без перевірки типу файлу". Неавтентифікований RCE через завантаження файлу — це найгірший клас веб-вразливостей, і OWASP роками визначає необмежене завантаження як один з найбільших ризиків на стороні сервера (OWASP Top 10).

Хронологія має значення. Експлуатація CVE-2026-48939 розпочалася 15 червня. CVE-2026-56291 була виявлена 8 липня після реальної атаки на клієнта mySites.guru. Дедлайн FCEB у каталозі KEV — 13 липня 2026 року, той самий день, коли була опублікована стаття. Для федеральних цивільних агентств це означає нульовий вікно для усунення, і на практиці більшість із них не встигне. Джерело не розкриває, скільки інсталяцій Joomla з iCagenda або Balbooa Forms функціонує в середовищах FCEB, що важливо, адже фактичне навантаження на відповідність — це функція кількості інсталяцій, а не кількості CVE. Обґрунтоване припущення: якщо навіть один відсоток сайтів Joomla у FCEB використовує будь-яке з цих розширень, протягом 30 днів слід очікувати додаткових повідомлень CISA з посиланнями на інциденти.

Що насправді нового

Технічний клас вразливості не є новим. Довільне завантаження файлу з подальшим виконанням PHP-шелу було і залишається основним методом компрометації CMS з часів phpBB. Справді новим тут є операційний слід, що його спостерігала mySites.guru: автоматизований сканер, який ідентифікував себе як "icagenda-batch/1.0", отримував токен, публікував шкідливе завантаження на ендпойнт надсилання, а потім звертався до розміщеного шелу за точним шляхом, за яким компонент зберігає вкладення. Це не випадкове сканування — це цільовий модуль експлойта зі знанням внутрішніх шляхів запису файлів iCagenda, розгорнутий у масштабі ще до публічного розкриття інформації.

Паралельне сповіщення Австралійського центру кібербезпеки (ACSC) доповнює картину. ACSC описує "масштабну глобальну кампанію з експлуатації", що спрямована на цілий перелік вразливостей CMS: Sneeit Framework (CVE-2025-6389), WPBookit (CVE-2025-7852), Gravity Forms (CVE-2025-12352), Craft CMS (CVE-2025-32432), Ninja Forms (CVE-2026-0740), MaxSite CMS (CVE-2026-3395), Breeze Cache (CVE-2026-3844), WavePlayer (CVE-2025-12057), MetInfo CMS (CVE-2026-29014) та Joomla JCE (CVE-2026-48907). Це десять CVE, що охоплюють щонайменше чотири екосистеми CMS і всі зводяться до одного TTP — розгортання веб-шелу. У термінах MITRE ATT&CK це T1190 (Exploit Public-Facing Application) до T1505.003 (Web Shell) — добре відомий шлях, але саме агрегація є цікавою.

Формулювання ACSC є показовим: "досягнення в галузі ШІ прискорюють швидкість і масштаб кіберопецій, скорочуючи час між розкриттям вразливості та її експлуатацією". Агентство не кількісно оцінює це прискорення, і це прогалина, на яку варто звернути увагу. Невідомо, чи інструментарій для створення експлойтів на основі ШІ справді скоротив вікно між 15 червня і 13 липня, або ж це випадок, коли компетентний дослідник написав фаззер, який просто влучив у ціль. Межа така: якщо розробка експлойтів за допомогою ШІ є рушійною силою, середній час до експлуатації нових CVE у CMS має впасти нижче семи днів протягом наступних двох кварталів. Це перевірюване передбачення.

Що вже враховано командами безпеки

Інженери безпеки, що керують парками Joomla або WordPress, вже припускають, що плагіни є поверхнею атаки, а не ядро CMS. Ядра Joomla і WordPress значно зміцніли за останнє десятиліття; маркетплейси розширень — ні. Це вже давно відомо.

Що, мабуть, ще не враховано: швидкість, з якою нішеві розширення стають зброєю. iCagenda — це плагін календаря. Balbooa Forms — конструктор форм. Жоден із них не має такої бази інсталяцій, як, скажімо, Elementor або Gravity Forms. Зловмисники більше не переслідують лише десять найпопулярніших плагінів за часткою ринку. Вони проводять широку розвідку по всьому "довгому хвосту" розширень CMS, і щойно вразливий ендпойнт завантаження файлів з'являється в журналі доступу, він потрапляє до ротації сканера. User agent "icagenda-batch/1.0" — це ознака того, що хтось запускає інструментарій для експлуатації окремих плагінів як портфоліо.

Також недооцінено: навантаження з підтримання гігієни індикаторів компрометації (IOC). Власникам сайтів рекомендують перевірити images/icagenda/frontend/attachments/ та images/baforms/uploads на наявність сторонніх PHP-файлів, а також перевірити облікові записи адміністраторів Joomla на предмет незнайомих записів. Для невеликого агентства це прийнятно. Для хостинг-провайдера, що обслуговує десятки тисяч інсталяцій Joomla, або команди спільних сервісів у великій організації — це завдання зі скриптування, на яке ніхто не виділив бюджет. Джерело не розкриває, чи публікував будь-який хостинг-провайдер результати масового сканування, що було б найшвидшим способом оцінити реальну кількість компрометацій. Очікувана межа: якщо великий спільний хост опублікує дані протягом двох тижнів, кількість скомпрометованих сайтів складе кілька тисяч. Якщо ніхто не повідомить — припускайте, що цифра незручно вища.

Альтернативна точка зору

Очевидний висновок полягає в тому, що розширення CMS безнадійно небезпечні й підприємства повинні переходити з Joomla і WordPress. Проте я б з цим посперечався. Клас вразливостей тут — неавтентифіковане завантаження файлів без перевірки MIME і без CSRF-токена — це помилка першого року вивчення веб-безпеки. Це не проблема Joomla, а проблема конкретного плагіна, і JoomliC та Balbooa обидва випустили виправлення у вікні розкриття. Сам проект Joomla не є причетним.

Альтернативне питання полягає в тому, чи дійсно виведення кожної CMS з виробництва зменшує ризик, чи просто переміщує його у власноруч розроблені веб-застосунки, що містять ті самі вразливості категорій OWASP, але без переваги публічного процесу CVE, який їх виявляє. Виправлена та контрольована інсталяція Joomla з жорсткою політикою розширень, імовірно, безпечніша, ніж неаудійована власна CMS, написана командою з трьох осіб у 2019 році. Реальне вирішення — це список дозволених плагінів плюс автоматизовані конвеєри виправлень, а не повна заміна системи. Чого ми не знаємо з джерела: чи мав клієнт mySites.guru, якого зламали, автоматизовану політику оновлень — ці дані вирішили б суперечку.

Ключові висновки

  • Дві вразливості CVSS 10.0 у розширеннях Joomla активно експлуатуються; негайно оновіть iCagenda до версії 4.0.8 або 3.9.15, а Balbooa Forms — до 2.4.1.
  • CVE-2026-48939 експлуатується з 15 червня 2026 року — приблизно за чотири тижні до внесення до KEV. Вважайте, що будь-яка непатчена інсталяція вже скомпрометована, і шукайте шели у задокументованих шляхах завантаження.
  • Кампанія ACSC охоплює десять CVE у Joomla, WordPress, Craft, MaxSite та MetInfo. Нішеві розширення зброїзуються у масштабах портфоліо, а не лише плагіни з найбільшою часткою ринку.
  • Питання без відповіді з перевірюваною межею: якщо інструментарій на основі ШІ справді прискорює зброїзацію, середній час до експлуатації нових CVE у CMS має впасти нижче семи днів протягом двох кварталів. Відстежуйте це.
  • Сигнал відповідності: дедлайн FCEB — 13 липня 2026 року — збігається з датою публікації. Очікуйте додаткових вказівок CISA протягом 30 днів, якщо інсталяції Joomla у федеральних органах є суттєвими.

Часті запитання

П: Що таке CVE-2026-48939 та CVE-2026-56291?

Це дві вразливості максимальної серйозності (CVSS 10.0) у розширеннях Joomla. CVE-2026-48939 — це вразливість довільного завантаження файлу у формі "Submit an Event" розширення календаря iCagenda, а CVE-2026-56291 — вразливість неавтентифікованого завантаження файлу у Balbooa Forms; обидві призводять до віддаленого виконання коду.

П: Які версії вражені і де знайти виправлення?

CVE-2026-48939 стосується iCagenda 4.x до 4.0.7 та застарілих версій 3.x від 3.2.1 до 3.9.14, виправлено JoomliC у версіях 4.0.8 та 3.9.15. CVE-2026-56291 стосується Balbooa Forms до версії 2.4.0 включно, виправлено у 2.4.1.

П: Як власники сайтів можуть перевірити факт компрометації?

Перевірте папку вкладень iCagenda за шляхом images/icagenda/frontend/attachments/ та папку завантажень Balbooa Forms за шляхом images/baforms/uploads на наявність підозрілих PHP-файлів. Також перевірте список користувачів Joomla на незнайомі облікові записи адміністраторів та перегляньте нещодавно змінені PHP-файли на всьому сайті.

SC
Sarah Chen
RiverCore Analyst · Dublin, Ireland
ПОДІЛИТИСЯ
// СХОЖІ СТАТТІ
ГоловнаРішенняПроєктиПро насКонтакт
Новини06
Дублін, Ірландія · ЄСGMT+1
LinkedIn
🇺🇦UK