Joomla Eklentileri iCagenda ve Balbooa Forms'ta Kritik Açıklar: Sıfırıncı Gün Saldırıları Rapor Edildi Dünya Geneli

Joomla Eklentileri iCagenda ve Balbooa Forms'ta Kritik Açıklar: Sıfırıncı Gün Saldırıları Rapor Edildi

ABD CISA, Joomla eklentileri iCagenda ve Balbooa Forms'ta kritik güvenlik açıklarını KEV kataloğuna ekledi. Açıklar sıfırıncı gün saldırılarında aktif

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Joomla için geliştirilen iCagenda ve Balbooa Forms eklentilerinde keşfedilen iki kritik güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi. Bu karar, söz konusu açıkların sıfırıncı gün (zero-day) saldırılarında aktif olarak kullanıldığına dair raporların ardından geldi. Her iki güvenlik açığı da CVSS puanlama sisteminde tam puan olan 10.0 ile değerlendirilerek en yüksek risk seviyesinde sınıflandırıldı.

CVE-2026-48939 olarak izlenen ilk güvenlik açığı, iCagenda eklentisinin dosya eki özelliğinde bulunuyor. Bu açık, saldırganların keyfi dosyalar yüklemesine ve PHP kodlarını çalıştırmasına olanak tanıyor. Özellikle 'Etkinlik Gönder' formu üzerinden istismar edilen açık, kullanıcıların takvim etkinlikleri önermesini sağlayan işlevsellikte yer alıyor. Bulut tabanlı web sitesi yönetim hizmeti mySites.guru, bu açığın 15 Haziran 2026'dan itibaren otomatik saldırılarda sıfırıncı gün olarak kullanıldığını tespit etti. Saldırganların, 'icagenda-batch/1.0' olarak tanımlanan otomatik tarayıcılarla token alıp, kötü niyetli dosyaları yükleyerek komut çalıştırma kabuğu (web shell) yerleştirdiği belirtildi.

İkinci güvenlik açığı CVE-2026-56291 ise Balbooa Forms eklentisini etkiliyor. Bu açık, sürüm 2.4.0 ve öncesinde dosya yükleme işlevindeki bir zafiyetten kaynaklanıyor. mySites.guru'nun 8 Temmuz 2026'da bir müşterisine yönelik canlı saldırı sırasında keşfettiği açık, herhangi bir kimlik doğrulama veya CSRF token'ı olmadan anonim kullanıcıların PHP dosyaları yüklemesine izin veriyor. Bu da kimlik doğrulamasız uzaktan kod çalıştırma (RCE) anlamına geliyor. Saldırganlar, yükledikleri PHP dosyalarını çalıştırarak sunucuyu tamamen ele geçirebiliyor.

Nasıl Önlem Alınmalı?

iCagenda için JoomliC tarafından yayınlanan güncellemelerle 4.0.8 ve 3.9.15 sürümlerinde açık kapatıldı. Site sahiplerinin 'images/icagenda/frontend/attachments/' klasöründe şüpheli PHP dosyalarını kontrol etmesi ve temizlemesi öneriliyor. Balbooa Forms için ise 2.4.1 sürümü yayınlandı. mySites.guru, saldırı göstergeleri olarak varsayılan yükleme klasörü 'images/baforms/uploads' içinde resim veya doküman olmayan, özellikle PHP uzantılı dosyaların aranmasını; Joomla kullanıcı listesinde şüpheli yönetici hesaplarının kontrol edilmesini ve sitede son değiştirilmiş veya tanınmayan PHP dosyalarının denetlenmesini öneriyor.

Gelecekte Ne Bekleniyor?

Bu gelişmeler, Avustralya Siber Güvenlik Merkezi'nin (ACSC) küresel bir kampanya uyarısıyla aynı döneme denk geldi. ACSC, içerik yönetim sistemleri (CMS) ve eklentilerindeki çeşitli güvenlik açıklarını hedef alan bir istismar kampanyası konusunda uyarıda bulundu. Saldırganların, web shell'ler yerleştirmek için CMS yazılımları ve eklentilerindeki açıkları aktif olarak taradığı belirtildi. Bu açıklar genellikle kimlik doğrulamasız dosya yükleme, uzaktan kod çalıştırma, sunucu taraflı istek sahteciliği (SSRF) veya serileştirme (deserialization) zafiyetlerini içeriyor.

ACSC'nin listelediği güvenlik açıkları arasında Sneeit Framework (CVE-2025-6389), WPBookit (CVE-2025-7852), Gravity Forms (CVE-2025-12352), Craft CMS (CVE-2025-32432), Ninja Forms (CVE-2026-0740), MaxSite CMS (CVE-2026-3395), Breeze Cache (CVE-2026-3844), WavePlayer (CVE-2025-12057), MetInfo CMS (CVE-2026-29014) ve Joomla JCE (CVE-2026-48907) yer alıyor. ACSC, bu kampanyanın kuruluşların karşı karşıya olduğu siber riskin hızla evrildiğini gösterdiğini ve yapay zekanın siber operasyonların hızını ve ölçeğini artırarak güvenlik açığı keşfi ile istismar arasındaki süreyi kısalttığını vurguladı.

Federal Sivil Yürütme Şubesi (FCEB) ajanslarına, açıkları gidermek için 13 Temmuz 2026'ya kadar süre tanındı. Tüm Joomla kullanıcılarının ve site yöneticilerinin, söz konusu eklentileri en kısa sürede güncellemeleri büyük önem taşıyor. Ayrıca, web sitelerinde düzenli güvenlik taramaları yapmaları, dosya yükleme işlevlerini sıkı bir şekilde kontrol etmeleri ve şüpheli etkinlikleri izlemeleri öneriliyor. Bu tür sıfırıncı gün saldırıları, güncel yazılım kullanmanın ve proaktif güvenlik önlemleri almanın ne kadar kritik olduğunu bir kez daha ortaya koyuyor.

Kaynak: thehackernews.com

Paylaş: