Что случилось

С середины июня по середину июля 2026 года CISA (американское агентство кибербезопасности) внесла в каталог KEV (Known Exploited Vulnerabilities — «активно эксплуатируемые уязвимости») сразу четыре критические дыры в популярных расширениях для Joomla. У всех четырёх — максимальная оценка CVSS 10.0, и каждая позволяет постороннему человеку без единого логина загрузить на сервер PHP-файл и выполнить его. Это худший класс веб-уязвимостей: полный контроль над сайтом с нуля.

Расширение CVE Эксплуатируется с Исправлено в
JCE (Joomla Content Editor) CVE-2026-48907 активно, до 3 июня 2.9.99.5
PageBuilder CK CVE-2026-56290 с 27 июня (в часах после патча) 3.6.0 (Joomla 3: 3.1.1, Joomla 4: 3.4.10)
iCagenda CVE-2026-48939 с 15 июня (zero-day) 4.0.8 (легаси-ветка: 3.9.15)
Balbooa Forms CVE-2026-56291 обнаружено 8 июля 2.4.1

Механика везде одна и та же: расширение принимает файл через форму на публичной части сайта (загрузка вложения, импорт профиля редактора, отправка события в календарь) и не проверяет ни авторизацию, ни тип файла — только CSRF-токен, который любой посетитель может получить прямо со страницы сайта. Токен подтверждает, что запрос пришёл с сайта, а не что его прислал легитимный пользователь.

В случае с PageBuilder CK исследователи mySites.guru зафиксировали реальный веб-шелл в течение нескольких часов после публикации патча — файл лежал по пути /media/com_pagebuilderck/gfonts/bhup.php, замаскированный под шрифтовые ресурсы. Атакующий может выбрать практически любую папку для загрузки, поэтому проверять стоит не только очевидные /images.

Не единичный случай, а системная проблема

Австралийский центр кибербезопасности (ACSC) в июле выпустил отдельное предупреждение о масштабной кампании: боты сканируют интернет в поисках уязвимых CMS и автоматически ставят веб-шеллы — под ударом не только Joomla, но и WordPress, Craft CMS, MaxSite CMS, MetInfo CMS. Только в марте 2026 года в Joomla и WordPress нашли пять похожих уязвимостей одного и того же типа — AJAX-эндпоинт проверяет токен, но не проверяет права.

«Развитие ИИ ускоряет как разработку атак, так и время между публикацией уязвимости и её эксплуатацией», — отметили в ACSC.

Что делать прямо сейчас, если у вас сайт на Joomla

Проверить версии всех установленных расширений — не только основных, но и второстепенных плагинов форм, календарей, конструкторов страниц — и обновить до патченных версий из таблицы выше. Затем поискать следы уже случившегося взлома: посторонние PHP-файлы в /media, /images, /templates, /administrator (не только в «очевидных» папках), незнакомые Super User-аккаунты в списке пользователей Joomla. Важно: обновление закрывает вход, но не убирает уже оставленный бэкдор — если шелл найден, сайт нужно чистить отдельно и менять все пароли и секреты.

Почему это важно

Проблема не в конкретном расширении — это симптом того, как устроена экосистема сторонних плагинов в Joomla (и WordPress тоже): каждый разработчик реализует проверки прав по-своему, и рано или поздно кто-то забывает это сделать. Для сайта, который годами живёт на связке из десятка плагинов без активного сопровождения, это означает постоянно растущую поверхность атаки — не разовый риск, а фоновый, который со временем только увеличивается. Именно поэтому для старых Joomla/WordPress-проектов миграция на современный, минималистичный стек с контролируемым набором зависимостей часто обходится дешевле, чем бесконечная гонка патчей за очередным нулевым днём.