Siber güvenlik dünyasında yeni bir alarm zili çalıyor: Joomla içerik yönetim sistemi (CMS) için geliştirilen iki popüler eklentide, Balbooa Forms ve iCagenda'da, kritik seviyede güvenlik açıkları tespit edildi. Her iki eklentideki zafiyetler de CVSS (Ortak Güvenlik Açığı Puanlama Sistemi) üzerinden tam 10 puan alarak en yüksek risk kategorisinde değerlendiriliyor. Bu güvenlik açıkları, saldırganların herhangi bir kimlik doğrulaması olmadan hedef sistem üzerinde uzaktan kod çalıştırmasına (RCE) izin veriyor. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bu açıkları Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekleyerek federal kurumları ve tüm kuruluşları acil önlem almaya çağırdı.
Balbooa Forms eklentisindeki güvenlik açığı, CVE-2026-56291 koduyla takip ediliyor. Bu zafiyet, eklentinin ön yüz (frontend) dosya yükleme uç noktasındaki bir arbitray dosya yükleme sorunundan kaynaklanıyor. Saldırganlar, bu uç noktaya doğrudan erişerek herhangi bir dosya türünü, özellikle PHP gibi çalıştırılabilir betik dosyalarını yükleyebiliyor. Dosya yüklendikten sonra, saldırgan sunucuda rastgele kod çalıştırarak sistemi tamamen ele geçirebiliyor. Balbooa Forms versiyon 2.4.1, 9 Temmuz'da bu güvenlik açığını gidermek için yayınlandı. Ancak, yamadan önce saldırganların bu açığı sıfırıncı gün (zero-day) olarak aktif bir şekilde istismar ettiği gözlemlendi. Bu durum, eklentinin 2.4.0 ve daha eski sürümlerini kullanan tüm web sitelerini kritik risk altına sokuyor.
Benzer bir güvenlik açığı, iCagenda Joomla eklentisinde de bulundu. CVE-2026-48939 koduyla izlenen bu zafiyet, eklentinin dosya eki özelliğindeki bir arbitray dosya yükleme sorunundan kaynaklanıyor. Tıpkı Balbooa Forms'taki gibi, bu açık da kimlik doğrulaması gerektirmeden PHP kodu yüklenmesine ve uzaktan kod çalıştırılmasına olanak tanıyor. iCagenda'nın geliştiricisi JoomliC, bu güvenlik açığının 15 Haziran'da sıfırıncı gün olarak istismar edildiğini bildirdi. Geliştirici, 15-16 Haziran tarihlerinde iCagenda versiyon 4.0.8 ve 3.9.15 ile yamaları yayınladı. Bu hızlı müdahaleye rağmen, henüz güncellemeyi yapmamış siteler hâlâ tehdit altında.
Gelecekte Ne Bekleniyor?
10 Temmuz'da CISA, her iki Joomla eklenti güvenlik açığını da Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi. Bu, ajansın federal kurumlara BOD 26-04 yönergesi kapsamında, bu açıkları üç gün içinde yamamaları talimatını verdiği anlamına geliyor. BOD 26-04 yalnızca federal kurumlar için bağlayıcı olsa da, CISA tüm kuruluşları KEV listesini incelemeye ve tespit edilen güvenlik açıklarını mümkün olan en kısa sürede gidermeye çağırıyor. Bu tür kritik açıkların istismar edilmesi, veri ihlalleri, fidye yazılımı saldırıları ve tam sistem ele geçirmeleri gibi ciddi sonuçlara yol açabilir.
Bu güvenlik açıklarının etkisi, yalnızca Joomla tabanlı web sitelerini değil, aynı zamanda bu eklentileri kullanan tüm kuruluşları kapsıyor. Balbooa Forms ve iCagenda, özellikle rezervasyon, etkinlik yönetimi ve form oluşturma gibi işlevler için yaygın olarak kullanılıyor. Bir saldırganın bu açıkları istismar ederek elde edebileceği erişim seviyesi, site sahipleri için felaket anlamına gelebilir. Örneğin, bir saldırgan sunucuda arka kapı (backdoor) oluşturabilir, hassas verileri çalabilir veya siteyi kötü amaçlı yazılım dağıtmak için kullanabilir. Bu nedenle, site yöneticilerinin derhal harekete geçmesi hayati önem taşıyor.
Site yöneticileri için atılması gereken ilk adım, kullanılan eklenti sürümlerini kontrol etmek ve en son güvenlik yamalarını uygulamaktır. Balbooa Forms için 2.4.1 veya üzeri sürüme, iCagenda için ise 4.0.8 veya 3.9.15 sürümlerine güncelleme yapılmalıdır. Güncelleme mümkün değilse, eklentiyi geçici olarak devre dışı bırakmak da bir seçenek olabilir. Ayrıca, web uygulama güvenlik duvarı (WAF) kuralları ile bu açıkları hedef alan saldırı girişimlerini engellemek mümkün olabilir. Ancak, en etkili çözüm her zaman güncelleme yapmaktır.
Teknik ekiplerin ayrıca, güvenlik açıklarının istismar edilip edilmediğini belirlemek için sunucu günlüklerini ve dosya sistemini incelemesi önerilir. Şüpheli dosyaların (örneğin, bilinmeyen PHP betikleri) varlığı, bir saldırının gerçekleştiğine işaret edebilir. Bu durumda, kapsamlı bir güvenlik denetimi yapılmalı ve gerekiyorsa site temizlenmelidir. Ayrıca, düzenli yedekleme ve güvenlik taramaları, bu tür saldırılara karşı hazırlıklı olmanın önemli bir parçasıdır.
Detaylar ve Etkileri
Son olarak, bu olay Joomla topluluğu ve tüm CMS kullanıcıları için önemli bir ders niteliğindedir: Eklenti güvenliği, web sitesi güvenliğinin kritik bir bileşenidir. Kullanılan eklentilerin düzenli olarak güncellenmesi, güvenlik bültenlerinin takip edilmesi ve yalnızca güvenilir kaynaklardan eklenti indirilmesi, siber saldırılara karşı en temel savunma yöntemleridir. CISA'nın KEV kataloğu, önceliklendirme için değerli bir kaynak olarak kullanılabilir. Unutmayın, siber güvenlikte proaktif olmak, reaktif olmaktan her zaman daha iyidir.
Kaynak: securityweek.com