Falhas no iCagenda e Balbooa Forms para Joomla são exploradas como zero-days, segundo relatos
13 de Julho de 2026

A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos, a CISA, adicionou duas falhas de segurança de severidade máxima que afetam as extensões iCagenda e Balbooa para Joomla ao seu catálogo de Vulnerabilidades Exploradas Conhecidas, o KEV, após relatos de exploração de zero-day em ambiente real.

As duas vulnerabilidades receberam nota 10,0 no sistema CVSS.

São elas:

CVE-2026-48939 .

Falha na extensão iCagenda para Joomla que permite o envio de arquivos arbitrários por meio do recurso de anexos, o que pode levar ao upload e à execução de código PHP.

CVE-2026-56291 .

Falha na extensão Balbooa Forms para Joomla que permite o envio de arquivos arbitrários, resultando em execução remota de código.

Segundo a mySites.guru, serviço de painel em cloud para gerenciamento de sites WordPress e Joomla, a CVE-2026-48939 vem sendo explorada como zero-day desde 15 de junho de 2026, em ataques automatizados contra sites Joomla com o iCagenda instalado.

A falha está no recurso do formulário “Enviar um evento”, que permite aos usuários sugerirem eventos para o calendário.

“Vimos isso primeiro no log de acesso de um cliente: um scanner automatizado que se identificava como ‘icagenda-batch/1.0’ obteve um token, enviou um upload malicioso para o endpoint de envio e depois buscou a shell implantada exatamente no caminho em que o componente grava os anexos”, informou a mySites.guru.

A falha afeta as seguintes versões:

Versões 4.x até e incluindo a 4.0.7.

Versões legadas 3.x da 3.2.1 até e incluindo a 3.9.14.

A JoomliC já liberou atualizações para corrigir o problema nas versões 4.0.8 e 3.9.15 do iCagenda.

Os administradores de sites são orientados a verificar a pasta “images/icagenda/frontend/attachments/” em busca de arquivos PHP suspeitos e removê-los.

A mySites.guru também observou exploração de zero-day da CVE-2026-56291 , que afeta as versões do Balbooa Forms até e incluindo a 2.4.0.

O problema foi corrigido na versão 2.4.1.

“Até a versão 2.4.0, o upload de anexos no frontend tinha uma falha grave: ele aceitava arquivos de qualquer visitante anônimo, sem login, sem token CSRF e sem verificação do tipo de arquivo”, disse a empresa.

“Um atacante podia enviar um arquivo PHP para uma pasta pública e executá-lo em seguida, o que configura execução remota de código sem autenticação, o pior resultado possível para uma falha em aplicações web.”

A vulnerabilidade foi descoberta pela mySites.guru em 8 de julho de 2026, após um ataque em tempo real contra um de seus clientes.

A empresa compartilhou os seguintes indícios de comprometimento:

Verificar a pasta de uploads do Balbooa Forms, por padrão “images/baforms/uploads”, em busca de qualquer arquivo que não seja imagem ou documento, especialmente arquivos com extensão PHP.

Checar a lista de usuários do Joomla em busca de contas de administrador suspeitas.

Auditar o site em busca de arquivos PHP modificados recentemente ou desconhecidos.

Diante da exploração em andamento, as agências da Federal Civilian Executive Branch, a FCEB, têm até 13/07/2026 para aplicar as correções em suas redes.

Austrália alerta para campanha global contra sistemas CMS vulneráveis

A divulgação ocorre após o Australian Cyber Security Centre, o ACSC, emitir um alerta sobre uma campanha global de exploração de vulnerabilidades em sistemas de gerenciamento de conteúdo, os CMS, e em plugins.

“Como parte dessa campanha, agentes cibernéticos maliciosos estão escaneando ativamente sites em busca de oportunidades para implantar web shells, aproveitando diversas vulnerabilidades que afetam softwares CMS e plugins”, informou a agência.

“Essas falhas permitem, principalmente, upload de arquivos sem autenticação, execução remota de código, falsificação de requisições do lado do servidor ou desserialização.”

Depois de implantadas, as web shells funcionam como canais de acesso remoto e controle dos servidores web alvo.

Algumas das vulnerabilidades identificadas são as seguintes:

Sneeit Framework ( CVE-2025-6389 )

WPBookit (WordPress) ( CVE-2025-7852 )

Gravity Forms (WordPress) ( CVE-2025-12352 )

Craft CMS ( CVE-2025-32432 )

Ninja Forms (WordPress) ( CVE-2026-0740 )

MaxSite CMS ( CVE-2026-3395 )

Breeze Cache (WordPress) ( CVE-2026-3844 )

WavePlayer (WordPress) ( CVE-2025-12057 )

MetInfo CMS ( CVE-2026-29014 )

Joomla JCE ( CVE-2026-48907 )

“Essa campanha global de exploração em larga escala demonstra o risco cibernético em rápida evolução enfrentado pelas organizações”, disse o ACSC, acrescentando que “os avanços em IA estão acelerando a velocidade e a escala das operações cibernéticas, reduzindo o tempo entre a divulgação da vulnerabilidade e sua exploração”.

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...