La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha agregado dos fallas de seguridad de máxima gravedad que afectan las extensiones iCagenda y Balbooa para Joomla a su catálogo de vulnerabilidades explotadas conocidas (KEV), luego de informes de explotación de día cero en la naturaleza.
Las vulnerabilidades, ambas con una calificación de 10.0 en el sistema de puntuación CVSS, se encuentran a continuación:
- CVE-2026-48939 – Una vulnerabilidad en la extensión iCagenda para Joomla que permite la carga de archivos arbitrarios a través de la función de archivos adjuntos, lo que lleva a la carga y ejecución de código PHP.
- CVE-2026-56291 – Una vulnerabilidad en la extensión Balbooa Forms para Joomla que permite la carga de archivos arbitrarios, lo que lleva a la ejecución remota de código.
Según mySites.guru, un servicio de panel de control basado en la nube para administrar sitios web de WordPress y Joomla, se dice que CVE-2026-48939 ha sido explotado como día cero desde el 15 de junio de 2026, en ataques automatizados dirigidos a sitios de Joomla en los que está instalado iCagenda. Reside en la funcionalidad del formulario “Enviar un evento”, que permite a los usuarios proponer eventos para el calendario.
“Lo vimos por primera vez en el registro de acceso de un cliente: un escáner automatizado que se identificaba como ‘icagenda-batch/1.0’ tomó un token, publicó una carga maliciosa en el punto final de envío y luego buscó el shell colocado en la ruta exacta en la que el componente escribe archivos adjuntos”, dijo mySites.guru.
La falla afecta a las siguientes versiones:
- Versiones 4.x hasta 4.0.7 inclusive
- Versiones heredadas 3.x desde 3.2.1 hasta 3.9.14 inclusive
Desde entonces, JoomliC ha lanzado actualizaciones para solucionar el problema en las versiones 4.0.8 y 3.9.15 de iCagenda. Se recomienda a los propietarios de sitios que busquen archivos PHP sospechosos en la carpeta “images/icagenda/frontend/attachments/” y los eliminen.
MySites.guru dijo que también observó explotación de día cero de CVE-2026-56291, que afecta a las versiones de Balbooa Forms hasta la 2.4.0 inclusive. Ha sido parcheado en la versión 2.4.1.
“Hasta la versión 2.4.0 inclusive, la carga de archivos adjuntos en la interfaz tenía un error grave: aceptaba un archivo de cualquier visitante anónimo, sin iniciar sesión, sin token CSRF y sin verificar el tipo de archivo”, dijo. “Un atacante podría cargar un archivo PHP en una carpeta pública y luego ejecutarlo, lo cual es una ejecución remota de código no autenticado, el peor resultado que puede tener una falla web”.
La vulnerabilidad fue descubierta por mySites.guru el 8 de julio de 2026, luego de un ataque en vivo a uno de sus clientes. Ha compartido los siguientes indicadores de compromiso:
- Busque en la carpeta de carga de Balbooa Forms (por defecto “images/baforms/uploads”) cualquier archivo que no sea una imagen o documento, especialmente cualquier archivo que termine en PHP.
- Consulte la lista de usuarios de Joomla para detectar cuentas de administrador sospechosas
- Audite el conjunto en busca de archivos PHP recientemente modificados o desconocidos en todo el sitio.
A la luz de la explotación activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) tienen hasta el 13 de julio de 2026 para implementar las correcciones en sus redes.
Australia advierte sobre una campaña global dirigida a sistemas CMS vulnerables
La divulgación se produce cuando el Centro Australiano de Seguridad Cibernética (ACSC) emitió una alerta de una campaña de explotación global dirigida a varias vulnerabilidades en los sistemas de gestión de contenido (CMS) y complementos.
“Como parte de esta campaña, los actores cibernéticos maliciosos están escaneando activamente los sitios web en busca de oportunidades para implementar web shells, aprovechando varias vulnerabilidades que afectan el software y los complementos CMS”, dijo la agencia. “Estas vulnerabilidades permiten principalmente la carga de archivos no autenticados, la ejecución remota de código, la falsificación o deserialización de solicitudes del lado del servidor”.
Una vez implementados, los web shells sirven como conductos para el acceso remoto y el control de los servidores web de destino. Algunas de las vulnerabilidades de seguridad identificadas se enumeran a continuación:
“Esta campaña de explotación global a gran escala demuestra la rápida evolución del riesgo cibernético que enfrentan las organizaciones”, dijo ACSC, y agregó que “los avances en IA están acelerando la velocidad y la escala de las operaciones cibernéticas, reduciendo el tiempo entre la divulgación de vulnerabilidades y la explotación”.