← Alertas
Vulnerabilidad Crítico Activa

Atacantes explotan activamente dos fallas máximas en extensiones de Joomla, uno de los gestores de sitios web más usados

Atacantes explotan activamente dos fallas con la calificación de severidad más alta posible en las extensiones iCagenda y Balbooa Forms para Joomla, un gestor de sitios web usado por cerca de un millón de páginas. Ya existen versiones corregidas, pero los ataques automatizados continúan incluso contra sitios ya parchados que tardaron en actualizar.

2026-07-14 · The Register — Security

Qué ocurrió

Investigadores confirmaron ataques activos contra dos extensiones para Joomla, uno de los gestores de contenido web más usados, con cerca de un millón de sitios construidos sobre esta plataforma. Las fallas, en las extensiones iCagenda (para calendarios de eventos) y Balbooa Forms (para crear formularios), recibieron la calificación de severidad más alta posible y permiten a un atacante subir un archivo que el servidor ejecuta como si fuera código legítimo, lo que le da control total del sitio. Los atacantes no esperaron a que las fallas se hicieran públicas: los investigadores detectaron escaneo automatizado buscando específicamente instalaciones vulnerables antes de que se desplegara el código malicioso. La explotación de Balbooa Forms continúa incluso después de publicado el parche, señal de que muchos sitios tardan en actualizar.

Quién está expuesto

Para organizaciones

Cualquier sitio Joomla que use la extensión iCagenda o Balbooa Forms sin la versión corregida instalada.

A considerar

Las versiones corregidas ya están disponibles: iCagenda 4.0.8 o 3.9.15 (desde mediados de junio) y Balbooa Forms 2.4.1 (desde el 9 de julio). Dado que los ataques ya están en curso, la actualización no debería esperar al siguiente ciclo de mantenimiento del sitio.

Impacto potencial

Un atacante que tome control del sitio puede modificarlo, insertar código malicioso visible para los visitantes, robar información de formularios o usar el servidor comprometido como punto de partida para otros ataques.

Leer fuente original →