Vulnerabilidades en Joomla: iCagenda y Balbooa Forms en riesgo crítico

Publicado el

Vulnerabilidades críticas en Joomla

La Agencia de Seguridad Cibernética e Infraestructura de EE. UU. (CISA) ha incluido en su catálogo de Vulnerabilidades Conocidas Explotadas (KEV) dos fallos de máxima severidad que afectan a las extensiones iCagenda y Balbooa Forms para Joomla. Ambos problemas han sido clasificados con una puntuación de 10.0 en el sistema de puntuación CVSS, lo que indica su gravedad.

Detalles de las vulnerabilidades

Las vulnerabilidades identificadas son las siguientes:

- CVE-2026-48939: Afecta a la extensión iCagenda, permitiendo la carga de archivos arbitrarios a través de la función de adjunto de archivos. Esto puede llevar a la carga y ejecución de código PHP. - CVE-2026-56291: Relacionada con Balbooa Forms, esta vulnerabilidad permite la carga de archivos arbitrarios, lo que resulta en ejecución remota de código.

Según el servicio de gestión de sitios web mySites.guru, CVE-2026-48939 ha sido explotada como un zero-day desde el 15 de junio de 2026, en ataques automatizados dirigidos a sitios Joomla que tienen instalada la extensión iCagenda. La explotación se realiza a través del formulario de "Enviar un Evento", donde un escáner automatizado identificó y aprovechó la vulnerabilidad.

Impacto y recomendaciones

Las versiones afectadas de iCagenda son: - Versiones 4.x hasta la 4.0.7. - Versiones 3.x desde la 3.2.1 hasta la 3.9.14.

JoomliC ha lanzado actualizaciones para mitigar estos problemas en versiones 4.0.8 y 3.9.15. Se recomienda a los propietarios de sitios que verifiquen la existencia de archivos PHP sospechosos en la carpeta "images/icagenda/frontend/attachments/" y que los eliminen.

De igual forma, mySites.guru ha constatado la explotación de CVE-2026-56291, que afecta a Balbooa Forms en versiones hasta la 2.4.0. Este fallo ha sido corregido en la versión 2.4.1. La vulnerabilidad permitía que cualquier visitante anónimo cargara archivos sin requerir autenticación ni verificación del tipo de archivo, lo que facilitaba la ejecución remota de código.

Indicadores de compromiso

Los expertos han compartido varios indicadores de compromiso para ayudar a los administradores a identificar posibles intrusiones: - Revisar la carpeta de carga de Balbooa Forms (por defecto "images/baforms/uploads") en busca de archivos que no sean imágenes o documentos, especialmente aquellos que terminen en .PHP. - Comprobar la lista de usuarios de Joomla para detectar cuentas de administrador sospechosas. - Auditar el sistema en busca de archivos PHP recientemente modificados o desconocidos en todo el sitio.

Advertencias sobre campañas de explotación

La CISA ha emitido esta alerta en un contexto donde el Centro de Seguridad Cibernética de Australia (ACSC) ha advertido sobre una campaña global de explotación que apunta a diversas vulnerabilidades en sistemas de gestión de contenidos (CMS) y sus complementos. Esta campaña se caracteriza por el escaneo activo de sitios web en busca de oportunidades para desplegar shells web, aprovechando vulnerabilidades que permiten la carga de archivos no autenticados y la ejecución remota de código.

El ACSC ha señalado que la rapidez de las operaciones cibernéticas ha aumentado, impulsada por los avances en IA, lo que reduce el tiempo entre la divulgación de vulnerabilidades y su explotación. Esto subraya la necesidad urgente de que las organizaciones revisen y fortalezcan sus medidas de seguridad para mitigar estos riesgos.

Fuente

Ver noticia original