ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Joomla içerik yönetim sisteminde kullanılan iCagenda ve Balbooa Forms eklentilerinde keşfedilen güvenlik açıklarının aktif olarak sömürüldüğünü duyurdu. Saldırganlar, bu açıkları kullanarak keyfi dosya yükleme yöntemiyle uzaktan kod çalıştırma (RCE) gerçekleştirebiliyor. CISA, bu açıkları maksimum öncelikli olarak sınıflandırdı ve federal kurumlara bugün sona erecek 3 günlük bir süre içinde güncellemeleri uygulama emri verdi.
İlk güvenlik açığı CVE-2026-48939 olarak izleniyor ve iCagenda eklentisini etkiliyor. Bu eklenti, etkinlik kaydı, zamanlama ve takvim oluşturma gibi işlevler sunuyor. Açık, dosya ekleme özelliğindeki kısıtlamasız dosya yükleme zafiyetinden kaynaklanıyor. Saldırgan, bu zafiyeti kullanarak PHP betikleri de dahil olmak üzere web sunucusuna keyfi dosyalar yükleyebiliyor. Bu durum, veri hırsızlığı, web shell kurulumu ve tam site ele geçirme gibi ciddi sonuçlara yol açabiliyor.
İkinci açık ise CVE-2026-56291 olarak kaydedildi ve Balbooa Forms eklentisini hedef alıyor. Balbooa Forms, Joomla sitelerinde sürükle-bırak yöntemiyle iletişim formları oluşturmaya yarayan bir form oluşturucudur. Dosya yükleme desteği sunan bu eklentideki açık, tehlikeli dosya türlerinin (örneğin çalıştırılabilir dosyalar) yüklenmesine izin veriyor. Bu da RCE ve tam site ele geçirme ile sonuçlanabiliyor.
Önemli Gelişmeler
Web sitesi yönetim ve güvenlik platformu mySites.guru'ya göre, her iki açık da satıcılar yama yayınlamadan önce otomatik saldırılarda kullanıldı. iCagenda için saldırılar, CVE-2026-48939'u gideren 4.0.8 sürümünün yayınlanmasından sadece birkaç saat önce tespit edildi. Balbooa Forms'taki CVE-2026-56291 zafiyeti ise zero-day olarak sömürüldü; saldırılar 8 Temmuz'da başladı ve satıcı 9 Temmuz'da düzeltmeyi yayınladı.
Joomla site yöneticileri, sitelerinde iCagenda ve Balbooa Forms eklentilerinin bulunup bulunmadığını kontrol etmeli ve gerekli önlemleri almalıdır. iCagenda için güvenlik yamaları 4.0.8 ve 3.9.15 sürümlerinde (15-16 Haziran'da yayınlandı) sunuldu. Balbooa Forms için ise 2.4.1 sürümü (9 Temmuz'da yayınlandı) gereklidir. Güncellemelerin hemen uygulanması, site güvenliği için kritik önem taşımaktadır.
Bu açıklar, Joomla tabanlı web sitelerinin güvenlik yamalarını zamanında uygulamanın ne kadar hayati olduğunu bir kez daha gösteriyor. Özellikle eklenti geliştiricilerinin güvenlik testlerini sıkılaştırması ve kullanıcıların da güncellemeleri takip etmesi gerekiyor. CISA'nın KEV kataloğuna eklediği bu açıklar, federal kurumlar dışındaki tüm Joomla kullanıcıları için de acil eylem gerektiriyor.
Kaynak: bleepingcomputer.com