A CISA adicionou duas vulnerabilidades críticas em extensões do Joomla ao seu catálogo de vulnerabilidades exploradas, instando agências federais dos EUA a aplicarem patches em até três dias. As falhas, nas extensões Balbooa Forms e iCagenda, permitem que invasores não autenticados façam upload arbitrário de arquivos e executem código remotamente (RCE).
A vulnerabilidade na Balbooa Forms, registrada como CVE-2026-56291 (CVSS 9.8), afeta o endpoint de upload de anexos no frontend da extensão. A falha impacta todas as versões 2.4.0 e anteriores, e a empresa publicou a versão corrigida 2.4.1 em 9 de julho. Ataques foram observados explorando a falha como zero-day antes do patch.
Já a vulnerabilidade na extensão iCagenda, registrada como CVE-2026-48939 (CVSS 9.8), foi descoberta em junho e permite upload de arquivos PHP para execução remota de código. O desenvolvedor JoomliC observou a exploração ativa em 15 de junho e lançou correções nas versões 4.0.8 e 3.9.15 no mesmo dia.
Em 10 de julho, a agência de segurança cibernética dos EUA incluiu ambas as falhas em seu catálogo de vulnerabilidades exploradas, exigindo que órgãos federais apliquem patches em até três dias conforme diretriz BOD 26-04. A CISA recomenda que todas as organizações revisem o catálogo e corrijam as vulnerabilidades o mais rapidamente possível.






