Joomla için iCagenda ve Balbooa Forms Eklentilerinde Kritik Sıfırıncı Gün Açıkları Tespit Edildi

Anasayfa » Joomla için iCagenda ve Balbooa Forms Eklentilerinde Kritik Sıfırıncı Gün Açıkları Tespit Edildi
Joomla için iCagenda ve Balbooa Forms Eklentilerinde Kritik Sıfırıncı Gün Açıkları Tespit Edildi

Joomla kullanıcılarını hedef alan iki kritik güvenlik açığı, iCagenda ve Balbooa Forms eklentilerinde sıfırıncı gün saldırıları olarak aktif bir şekilde istismar ediliyor. Bu zafiyetler, dosya yükleme mekanizmalarındaki ciddi zaaflar nedeniyle uzaktan yetkisiz kod çalıştırılmasına imkân tanıyor.

Saldırıların Teknik Detayları ve Etkilenen Sürümler

iCagenda eklentisindeki CVE-2026-48939 kodlu açık, takvim etkinlik önerileri için kullanılan “Etkinlik Gönder” formundaki dosya ekleme işlevi üzerinden kötü amaçlı PHP dosyalarının yüklenip çalıştırılmasına izin veriyor. Bu açık, 15 Haziran 2026’dan itibaren otomatik saldırı dizilerinde kullanılarak Joomla sitelerine yönelik yaygın bir tehdide dönüştü. İlgili sürümler 4.0.7 ve öncesi ile 3.2.1’den 3.9.14’e kadar olan eski seriler.

Balbooa Forms eklentisindeki CVE-2026-56291 ise, giriş yapmamış kullanıcıların doğrulama veya dosya tipi kontrolü olmaksızın herhangi bir dosya yüklemesine izin veriyor. Saldırganlar burada da PHP dosyalarını alıcı sisteme yerleştirip çalıştırarak uzaktan kod çalıştırma gerçekleştirebiliyor. Bu açık 2.4.0 ve altı sürümleri etkiliyor; 2.4.1 sürümü ile yama sunuldu.

İstismar Göstergeleri ve Siber Güvenlik Uyarıları

Analizler, saldırganların iCagenda için “icagenda-batch/1.0” adlı otomatik tarayıcı kullandığını gösteriyor. Bu tarayıcı, önce bir erişim belirteci alıyor, ardından kötü niyetli dosyayı yüklüyor ve dosyanın olduğu yoldan web kabuğunu çağırıyor. Benzer şekilde Balbooa Forms için yapılan incelemelerde, yükleme dizininde (genellikle “images/baforms/uploads”) PHP uzantılı veya diğer olağandışı dosyaların bulunması risk işareti olarak öne çıkıyor. Joomla yönetici listelerinde şüpheli hesapların takibi ve dosya sisteminde son zamanlarda değiştirilmiş bilinmeyen PHP dosyalarının denetlenmesi öneriliyor.

Federal sivil kurumlar da bu açıklar için 13 Temmuz 2026 tarihine kadar güncellemeleri uygulamaları yönünde uyarıldı. Bu tür zaaflar, özellikle içerik yönetim sistemlerinde (CMS) otomatik dosya yükleme mekanizmalarındaki güvenlik eksikliklerinden kaynaklanıyor ve hızlı müdahale gerektiriyor.

CMS Eklentilerinde Yaygın Bir Tehdit Kampanyası

Bu gelişmeler, Avustralya Siber Güvenlik Merkezi’nin dünya çapında CMS ve eklentilerdeki çeşitli zafiyetleri hedef alan bir siber saldırı kampanyası uyarısı ile paralellik gösteriyor. Hedeflenen açıklıklar, doğrulamasız dosya yükleme, uzak kod çalıştırma ve sunucu tarafı istek sahteciliği gibi kritik güvenlik açıklarını içeriyor. Kampanyada Sneeit Framework, Gravity Forms, Craft CMS ve Joomla JCE gibi sistemler de risk altında.

Bu saldırılar, web sunucularına uzaktan erişim sağlamaya yarayan zararlı web kabukları (web shells) kurarak geniş çaplı kontrol imkânı veriyor. Siber güvenlik dünyasında bu tür kapsamlı istismarların, yapay zekâ destekli otomasyon araçları sayesinde hızla yayılması kaygı yaratıyor.

Kısa Teknik Özet ve Güvenlik Tavsiyeleri

Öne çıkan teknik bulgular şu şekilde özetlenebilir: Saldırılar genellikle kullanıcı doğrulaması olmayan dosya yükleme açıklarından başlıyor. Daha sonra PHP dosyalarıyla web kabukları yerleştiriliyor ve uzaktan komutlar ile sistemler kontrol ediliyor. Etkilenen sektörler arasında kamu, e-ticaret, içerik sağlayıcılar ve SaaS hizmetleri yer alıyor.

Güvenlik ekiplerine öneriler: Öncelikle Joomla ve WordPress eklentilerinin güncel sürümlerine geçilmeli. Dosya yükleme dizinleri düzenli olarak denetlenmeli, özellikle PHP dosyaları kontrol edilmeli. Yetkisiz kullanıcıların dosya yükleme yetkileri sınırlandırılmalı ve web sunucularında EDR ile olay müdahale süreçleri güçlendirilmeli. Ayrıca, ağ segmentasyonu ile kritik sunucular izole edilmeli, çok faktörlü kimlik doğrulama (MFA) zorunlu kılınmalı.