iCagenda 和 Balbooa Forms Joomla 漏洞据报被作为零日漏洞利用
导语:CISA 将两个影响 Joomla 扩展组件 iCagenda 和 Balbooa 的最高严重性(CVSS 10.0)漏洞加入 KEV 目录,此前 mySites.guru 报告称这两个漏洞正在被作为零日漏洞在野外利用。
美国网络安全和基础设施安全局 (CISA) 已将影响 Joomla 扩展组件 iCagenda 和 Balbooa 的两个最高严重性安全漏洞添加至其已知被利用漏洞 (KEV) 目录,原因是接到报告称这两个漏洞正在野外被作为零日漏洞加以利用。这两个漏洞在 CVSS 评分系统上的评分均为 10.0 分,具体信息如下。
据面向 WordPress 和 Joomla 网站的云端仪表板服务 mySites.guru 透露,CVE-2026-48939 据称自 2026 年 6 月 15 日起就被作为零日漏洞,在针对已安装 iCagenda 的 Joomla 站点的自动化攻击中加以利用。该漏洞存在于"提交事件"(Submit an Event) 表单功能中,该功能允许用户为日历提交活动建议。mySites.guru 表示:"我们首次在一位客户的访问日志中看到它:一个将自己标识为 'icagenda-batch/1.0' 的自动化扫描器获取了一个令牌,向提交端点发送了一个恶意上传请求,然后在该组件写入附件的精确路径获取了植入的 WebShell。"
iCagenda 开发商 JoomliC 此后发布了更新,在 iCagenda 4.0.8 和 3.9.15 版本中修复了该问题。建议站点所有者在 "images/icagenda/frontend/attachments/" 目录下检查可疑的 PHP 文件并将其删除。
mySites.guru 表示,他们还观察到了针对 CVE-2026-56291 的零日漏洞利用,该漏洞影响 Balbooa Forms 至 2.4.0(含)的所有版本。该漏洞已在 2.4.1 版本中得到修复。mySites.guru 称:"在 2.4.0 及以下所有版本中,其前端附件上传功能存在严重缺陷:它接受来自任何匿名访客的文件上传,无需登录、无 CSRF 令牌,也不对文件类型进行检查。攻击者可以将 PHP 文件上传到公共文件夹中,然后执行它,这就是未经身份验证的远程代码执行——这是 Web 漏洞可能造成的最糟糕后果。"

该漏洞由 mySites.guru 于 2026 年 7 月 8 日在针对其某位客户的实时攻击中发现。
鉴于漏洞正被积极利用,联邦民用行政分支机构 (FCEB) 各机构须在 2026 年 7 月 13 日之前在其网络中完成修复。
此次披露正值澳大利亚网络安全中心 (ACSC) 发布警报,警告存在针对各种内容管理系统 (CMS) 及其插件漏洞的全球性利用活动。ACSC 表示:"作为此次活动的一部分,恶意网络行为者正在积极扫描网站,以寻找部署 WebShell 的机会,利用影响 CMS 软件及插件的各种漏洞。这些漏洞主要允许未经身份验证的文件上传、远程代码执行、服务器端请求伪造或反序列化攻击。"
WebShell 一旦被部署,便成为远程访问和控制目标 Web 服务器的通道。ACSC 指出,"此次大规模全球利用活动表明组织面临的网络风险正在快速演变",并补充说"人工智能的进步正在加速网络行动的速度和规模,缩短了漏洞披露与利用之间的时间差"。
来源信息
来源:The Hacker News
原文链接:https://thehackernews.com/2026/07/icagenda-and-balbooa-forms-joomla-flaws.html
作者:info@thehackernews.com (The Hacker News)

