iCagenda and Balbooa Forms Joomla Flaws Reportedly Exploited as Zero-Days

1 minute de lecture

Mis à jour :

Exploitation active de vulnérabilités critiques dans les extensions Joomla

La CISA a ajouté deux vulnérabilités critiques (score CVSS 10.0) aux extensions Joomla iCagenda et Balbooa Forms à son catalogue KEV, suite à des campagnes d’exploitation « zero-day » observées sur le terrain. Ces failles permettent à des attaquants non authentifiés de télécharger des fichiers arbitraires, menant à une exécution de code à distance (RCE).

Vulnérabilités identifiées

  • CVE-2026-48939 (iCagenda) : Vulnérabilité de téléchargement de fichiers dans la fonction « Submit an Event », permettant l’exécution de code PHP. Concerne les versions 4.x (jusqu’à 4.0.7) et 3.x (de 3.2.1 à 3.9.14).
  • CVE-2026-56291 (Balbooa Forms) : Absence totale de contrôle sur le téléchargement de fichiers (sans authentification ni validation de type). Concerne les versions jusqu’à la 2.4.0.

Points clés

  • Mode opératoire : Des attaquants automatisés utilisent des scanners pour identifier ces failles, injecter des shells PHP, puis prendre le contrôle des serveurs web.
  • Campagne globale : Ces attaques s’inscrivent dans une tendance plus large de campagnes automatisées ciblant divers CMS (WordPress, Craft CMS, etc.) pour déployer des web shells, facilitée par l’usage de l’IA pour accélérer l’exploitation.

Recommandations

  • Mises à jour immédiates : Passer impérativement à iCagenda 4.0.8 / 3.9.15 et Balbooa Forms 2.4.1.
  • Audit technique :
    • Vérifier les répertoires d’upload (images/icagenda/frontend/attachments/ et images/baforms/uploads/) à la recherche de fichiers suspects (notamment des extensions .php).
    • Auditer la liste des utilisateurs Joomla pour détecter la création de comptes administrateurs non autorisés.
    • Analyser l’ensemble du site pour identifier tout fichier PHP modifié ou inconnu récemment.

Source