Joomla-websites zijn recentelijk het doelwit van cyberaanvallen waarbij kwetsbaarheden in de extensies iCagenda en Balbooa Forms worden misbruikt om ongeautoriseerd PHP-code op de webserver uit te voeren. Dit meldt het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) in een waarschuwing.

De Australische overheid waarschuwde vorige week al voor wereldwijde aanvallen op populaire contentmanagementsystemen, waaronder Joomla, maar noemde toen niet specifiek de extensies iCagenda en Balbooa Forms. Joomla is een contentmanagementsysteem dat volgens W3Techs door meer dan één procent van alle websites wereldwijd wordt gebruikt. iCagenda is een extensie die evenementenbeheer op Joomla-websites mogelijk maakt, terwijl Balbooa Forms wordt ingezet voor het maken van webformulieren.

Beide extensies bevatten een kwetsbaarheid die het aanvallers zonder authenticatie toestaat om willekeurige bestanden te uploaden, waaronder PHP-bestanden. Hierdoor kunnen zij kwaadaardige code op de server uitvoeren. De kwetsbaarheden zijn beoordeeld met de maximale CVSS-impactscore van 10.0, wat duidt op een zeer ernstige beveiligingsrisico. Het CISA bevestigt dat er actief misbruik wordt gemaakt van deze kwetsbaarheden, geregistreerd als CVE-2026-48939 en CVE-2026-56291, maar verstrekt geen nadere details over de aanvallen.

Er zijn updates beschikbaar die deze kwetsbaarheden verhelpen. Beheerders van Joomla-websites worden dringend aangeraden deze patches zo snel mogelijk te installeren om verdere exploits te voorkomen.