CISA將兩款Joolma兩款延伸套件列入KEV,要求聯邦機構7月13日完成修補

CISA 於 2026 年 7 月 10 日將兩款 Joomla! 外掛套件漏洞列入 KEV(已遭利用漏洞清單),要求聯邦機構於 7 月 13 日前完成修補。這兩款漏洞分別為 iCagenda 的 CVE-2026-48939 與 Balbooa Forms 的 CVE-2026-56291,CVSS 評分皆達 10 分。漏洞成因均為未限制上傳危險類型檔案(CWE-434),可導致遠端程式碼執行(RCE)。攻擊者已積極利用,企業需立即更新並檢查惡意檔案。

摘要

事件說明

美國網路與基礎設施安全局(CISA)於 2026 年 7 月 10 日更新其「已遭利用漏洞清單」(Known Exploited Vulnerabilities, KEV),新增兩款 Joomla! 開放原始碼內容管理系統的外掛套件漏洞。根據 CISA 官方公告,這兩項漏洞因 CVSS 嚴重度評分為 10 分且已出現積極利用活動而被列入 KEV,聯邦機構需在 3 天內完成漏洞修補[7][8]。iCagenda 是事件管理軟體,用於在 Joomla! 網站新增與管理行事曆事件;Balbooa Forms 則是表單建立外掛程式,支援滑鼠拖放設計[8]。兩廠商雖已發布修補版本,但攻擊者已在此之前大規模發動自動化攻擊,導致大量網站滲透風險極高[8]。

技術分析

這兩個漏洞的核心成因均被歸類為 CWE-434:未限制上傳危險類型的檔案(Unrestricted Upload of File with Dangerous Type)[8]。攻擊者可透過外掛套件提供的「檔案附件」功能,上傳任意檔案並執行,進而引發遠端程式碼執行(RCE)攻擊[8]。其中一個漏洞允許上傳與執行 PHP 程式碼,另一個漏洞允許上傳可執行的檔案,兩者皆可導致 RCE 攻擊[8]。

根據安全研究機構調查,其中一個漏洞於 6 月 15 日偵測到鎖定自動化攻擊,經審核程式碼確認漏洞存在,並在 Joomla 6 環境重現[8]。廠商於當天發布修補版,隔日推出適用於 3.x 分支的修補版本,6 月 20 日正式公開漏洞[8]。另一個漏洞源自客戶收到主機代管業者通知,表示其 Joomla 網站存在可疑的濫用活動,後續安全研究機構於 7 月 8 日確認漏洞存在與重現漏洞利用流程,並通報廠商獲得回覆,隔天廠商發布修補版本,也公開漏洞編號[8]。

影響範圍

受影響的產品涵蓋所有未更新至修補版本的 iCagenda 與 Balbooa Forms 外掛套件[8]。雖然 Joomla 5 及更早版本的核心程式會阻止 PHP Shell 上傳,因為網站系統的核心程式會阻止上傳,但還是要檢查,例如確認用戶網站系統當中的 images/icagenda/frontend/attachments/ 資料夾,當中應只存放行事曆事件的附加檔案[8]。攻擊者已針對安裝的網站發動自動化攻擊,專攻 WordPress 和 Joomla 網站管理的平臺[8]。另一漏洞亦導致客戶網站出現可疑濫用活動,顯示攻擊已實際滲透[8]。若未及時修補,攻擊者可透過上傳惡意檔案完全控制伺服器,竊取數據或植入後門[8]。

防護建議

企業與聯邦機構應立即採取以下防護措施:首先,務必將 iCagenda 更新至已完成修補的版本,並將 Balbooa Forms 更新至修補版本[8]。其次,即使已更新,仍須假設網站已遭攻擊,需檢查 images/icagenda/frontend/attachments/ 資料夾是否僅存放合法附件,並移除可疑檔案[8]。第三,檢查是否存在可疑的系統管理員帳號與陌生檔案,確認無後門存在[8]。第四,若無法立即更新,可暫時禁用檔案附件功能,或將上傳目錄移至根目錄外,並配置伺服器禁止執行上傳檔案[8]。最後,建議私人組織參考 CISA KEV 清單,主動檢視並修補自身基礎設施中的漏洞[7]。

5 步驟修補清單

  • 步驟 1:立即將 iCagenda 更新至已完成修補的版本,將 Balbooa Forms 更新至修補版本
  • 步驟 2:檢查 images/icagenda/frontend/attachments/ 資料夾,移除所有非合法附件與惡意 Shell
  • 步驟 3:審查系統管理員帳號清單,刪除可疑帳號並確認無異常登入紀錄
  • 步驟 4:搜尋網站根目錄中的陌生或已修改檔案,特別是 .php、.exe 等可執行檔
  • 步驟 5:若無法立即更新,暫時禁用檔案附件功能,或配置伺服器禁止執行上傳檔案

參考資料

  • CISA Adds Two Known Exploited Vulnerabilities to Catalog
  • Known Exploited Vulnerabilities Catalog | CISA

更多資安新聞