A CISA adicionou em 10 de julho de 2026 duas falhas de upload em extensões Joomla ao catálogo de vulnerabilidades exploradas, após identificar ataques reais contra sites expostos. Os problemas, nos componentes iCagenda e Balbooa Forms, permitem enviar arquivos perigosos e podem abrir caminho para assumir servidores web vulneráveis.
Resumo/Pontos-chave
- CVE-2026-48939 afeta o iCagenda; CVE-2026-56291 afeta o Balbooa Forms.
- A CISA confirmou evidência de exploração ativa e incluiu as duas falhas no KEV.
- O vetor é um upload sem validação adequada do tipo de arquivo.
- Administradores devem identificar as extensões, atualizar quando houver correção e revisar arquivos recém-criados.
Falhas entram no KEV
O alerta da CISA não descreve apenas um risco teórico. A agência acrescentou as duas vulnerabilidades ao Known Exploited Vulnerabilities Catalog porque recebeu evidências de que agentes maliciosos já as exploram. A inclusão muda a prioridade operacional: organizações precisam tratar esses componentes como portas de entrada em uso.
A CVE-2026-48939 está associada ao iCagenda, uma extensão de calendário para Joomla. A CVE-2026-56291 afeta o Balbooa Forms, usado para criar formulários e receber anexos. A descrição técnica disponível no NVD para a CVE-2026-48939 e no NVD para a CVE-2026-56291 aponta para o mesmo padrão: upload irrestrito de arquivo de tipo perigoso.
O upload vira execução
O ataque começa quando o invasor envia uma requisição ao endpoint de anexos da extensão. Se o componente aceita o arquivo apenas pelo nome ou pela extensão declarada pelo cliente, o servidor pode armazenar conteúdo executável em um diretório acessível pela internet. O atacante então chama o arquivo por uma URL e tenta executar comandos no contexto do processo web.
O risco não depende de quebrar uma senha do Joomla. Um formulário público, um calendário ou uma página que aceite anexos pode fornecer o caminho de entrada. Depois do primeiro acesso, o invasor pode instalar um webshell, alterar páginas, criar contas administrativas ou usar o servidor para distribuir malware. O resultado varia com as permissões do processo e com a configuração do servidor, mas o ponto crítico é a falta de validação no fluxo de upload.
| Vulnerabilidade | Componente | Vetor | Status |
|---|---|---|---|
| CVE-2026-48939 | iCagenda | Upload de arquivo perigoso | Exploração ativa no KEV |
| CVE-2026-56291 | Balbooa Forms | Upload de arquivo perigoso | Exploração ativa no KEV |
A análise técnica publicada pela KKM-Mako descreve o problema do Balbooa Forms como uma falha capaz de permitir tomada de site sem autenticação. A condição exata depende da versão instalada e da configuração do servidor, mas a ausência de uma barreira de upload torna o componente prioritário para investigação.
Quem precisa agir
O alerta alcança qualquer organização que mantenha sites Joomla com essas extensões instaladas, mesmo quando o painel administrativo não fica aberto ao público. A superfície relevante inclui páginas de inscrição, calendários de eventos e formulários que recebem documentos. Instalações esquecidas, cópias de teste e subdomínios também precisam entrar no inventário.
Sites comprometidos podem continuar funcionando enquanto o atacante mantém um arquivo oculto no servidor. Por isso, verificar apenas se a página inicial está normal não basta. A equipe deve comparar arquivos do Joomla com cópias conhecidas, revisar mudanças recentes e consultar registros de requisições aos endpoints de upload.
Leia também: como uma atualização de software corrige falhas exploráveis e o impacto de uma falha em aplicações expostas.
O que fazer agora
- Liste todas as extensões iCagenda e Balbooa Forms nos ambientes Joomla, incluindo sites de teste e versões clonadas.
- Consulte os avisos dos fornecedores e atualize para uma versão corrigida. Se não houver correção aplicável, desative a extensão e remova seus endpoints públicos.
- Bloqueie uploads de extensões executáveis no servidor web e armazene anexos fora da raiz pública, com nomes aleatórios e validação no servidor.
- Procure arquivos PHP ou scripts recém-criados nos diretórios de mídia e de componentes; compare horários com logs de requisições POST.
- Se encontrar um webshell, isole o site, preserve os registros, troque credenciais do Joomla e revise contas administrativas antes de colocá-lo de volta no ar.