Giriş
Joomla uzantılarındaki kritik güvenlik açıklarının, kötü niyetli kişilerin uzaktan kod çalıştırmasına olanak tanıdığı bildirilmektedir. Bu durum, hem web sitelerinin güvenliği hem de kullanıcı verilerinin korunması açısından büyük önem taşımaktadır.
Saldırı Nasıl Çalışıyor?
Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), iCagenda ve Balbooa Forms uzantılarındaki güvenlik açıklarının, rastgele dosya yüklemeleri yoluyla uzaktan kod çalıştırma (RCE) için istismar edildiğini duyurdu. CISA, bu açıkları maksimum öncelik olarak sınıflandırmış ve federal kurumların üç gün içinde güvenlik güncellemelerini uygulamalarını istemiştir.
- CVE-2026-48939: iCagenda uzantısında rastgele dosya yükleme açığı.
- CVE-2026-56291: Balbooa Forms uzantısında rastgele dosya yükleme sorunu.
iCagenda, etkinlik planlama ve takvim oluşturma için kullanılan bir uzantıdır. Açık, kötü niyetli kişilerin web sunucusuna PHP betikleri dahil rastgele dosyalar yüklemesine olanak tanır; bu durum veri hırsızlığı, web kabuğu kurulumu ve web sitesinin tamamen ele geçirilmesi gibi sonuçlar doğurabilir.
CISA’nın Bilinen Kullanılan Açıklar (KEV) kataloğundaki kaydında, “iCagenda, zararlı türde dosyaların, ekleme özelliğinde sınırsız yüklenmesine olanak tanıyan bir güvenlik açığı içeriyor; bu da PHP kodu yüklenmesine ve çalıştırılmasına yol açıyor” şeklinde uyarıda bulunmuştur.
Etkilenen Sistemler
Balbooa Forms, Joomla sitelerinde iletişim formları oluşturmak için kullanılan sürükle-bırak form tasarımcısıdır ve dosya yükleme desteği sunar. CISA’ya göre, bu özellik kötü niyetli dosya türlerinin yüklenmesine olanak tanır ve bunun sonucunda RCE ve tam web sitesi ele geçirme gerçekleşebilir.
Güvenlik platformu mySites.guru‘dan elde edilen verilere göre, her iki açık da, satıcılar güncelleme yayınlamadan önce otomatik saldırılarda istismar edilmiştir. iCagenda için, saldırılar, CVE-2026-48939 sorununu gidermek üzere 4.0.8 sürümünün yayınlanmasından sadece birkaç saat önce gözlemlenmiştir. Balbooa Forms’taki CVE-2026-56291 açığı ise zero-day olarak kullanılarak, 8 Temmuz’dan beri saldırılara maruz kalmıştır; bu da satıcının sorunu gidermek için bir düzeltme yayınlamasından bir gün önce gerçekleşmiştir.
Çözüm ve Korunma
Joomla sitelerini yöneten web yöneticilerinin, iCagenda ve Balbooa Forms‘ın varlığını kontrol etmeleri ve gerekli önlemleri almaları kritik önemdedir. Bu güvenlik açıkları, aşağıdaki sürümlerde düzeltilmiştir:
- iCagenda – sürüm 4.0.8 ve 3.9.15 (15-16 Haziran’da yayınlandı)
- Balbooa Forms – sürüm 2.4.1 (9 Temmuz’da yayınlandı)
Web yöneticilerinin, gerekli güncellemeleri yapmaları ve potansiyel riskleri azaltmak için ilgili portları kapatmaları önerilmektedir.


