Что случилось
С середины июня по середину июля 2026 года CISA (американское агентство кибербезопасности) внесла в каталог KEV (Known Exploited Vulnerabilities — «активно эксплуатируемые уязвимости») сразу четыре критические дыры в популярных расширениях для Joomla. У всех четырёх — максимальная оценка CVSS 10.0, и каждая позволяет постороннему человеку без единого логина загрузить на сервер PHP-файл и выполнить его. Это худший класс веб-уязвимостей: полный контроль над сайтом с нуля.
| Расширение | CVE | Эксплуатируется с | Исправлено в |
|---|---|---|---|
| JCE (Joomla Content Editor) | CVE-2026-48907 | активно, до 3 июня | 2.9.99.5 |
| PageBuilder CK | CVE-2026-56290 | с 27 июня (в часах после патча) | 3.6.0 (Joomla 3: 3.1.1, Joomla 4: 3.4.10) |
| iCagenda | CVE-2026-48939 | с 15 июня (zero-day) | 4.0.8 (легаси-ветка: 3.9.15) |
| Balbooa Forms | CVE-2026-56291 | обнаружено 8 июля | 2.4.1 |
Механика везде одна и та же: расширение принимает файл через форму на публичной части сайта (загрузка вложения, импорт профиля редактора, отправка события в календарь) и не проверяет ни авторизацию, ни тип файла — только CSRF-токен, который любой посетитель может получить прямо со страницы сайта. Токен подтверждает, что запрос пришёл с сайта, а не что его прислал легитимный пользователь.
В случае с PageBuilder CK исследователи mySites.guru зафиксировали реальный веб-шелл в течение нескольких часов после публикации патча — файл лежал по пути /media/com_pagebuilderck/gfonts/bhup.php, замаскированный под шрифтовые ресурсы. Атакующий может выбрать практически любую папку для загрузки, поэтому проверять стоит не только очевидные /images.
Не единичный случай, а системная проблема
Австралийский центр кибербезопасности (ACSC) в июле выпустил отдельное предупреждение о масштабной кампании: боты сканируют интернет в поисках уязвимых CMS и автоматически ставят веб-шеллы — под ударом не только Joomla, но и WordPress, Craft CMS, MaxSite CMS, MetInfo CMS. Только в марте 2026 года в Joomla и WordPress нашли пять похожих уязвимостей одного и того же типа — AJAX-эндпоинт проверяет токен, но не проверяет права.
«Развитие ИИ ускоряет как разработку атак, так и время между публикацией уязвимости и её эксплуатацией», — отметили в ACSC.
Что делать прямо сейчас, если у вас сайт на Joomla
Проверить версии всех установленных расширений — не только основных, но и второстепенных плагинов форм, календарей, конструкторов страниц — и обновить до патченных версий из таблицы выше. Затем поискать следы уже случившегося взлома: посторонние PHP-файлы в /media, /images, /templates, /administrator (не только в «очевидных» папках), незнакомые Super User-аккаунты в списке пользователей Joomla. Важно: обновление закрывает вход, но не убирает уже оставленный бэкдор — если шелл найден, сайт нужно чистить отдельно и менять все пароли и секреты.
Почему это важно
Проблема не в конкретном расширении — это симптом того, как устроена экосистема сторонних плагинов в Joomla (и WordPress тоже): каждый разработчик реализует проверки прав по-своему, и рано или поздно кто-то забывает это сделать. Для сайта, который годами живёт на связке из десятка плагинов без активного сопровождения, это означает постоянно растущую поверхность атаки — не разовый риск, а фоновый, который со временем только увеличивается. Именно поэтому для старых Joomla/WordPress-проектов миграция на современный, минималистичный стек с контролируемым набором зависимостей часто обходится дешевле, чем бесконечная гонка патчей за очередным нулевым днём.
Обсуждение
Комментариев пока нет — будьте первым.
Комментарии публикуются после проверки модератором.