Atores de ameaça têm explorado vulnerabilidades críticas nas extensões Balbooa Forms e iCagenda do Joomla que permitem a invasores não autenticados executar código remotamente (RCE, na sigla em inglês para Execução Remota de Código).
A falha na Balbooa, registrada como CVE-2026-56291 (nota 10 no CVSS, Sistema de Pontuação de Vulnerabilidades Comuns), é descrita como um problema de upload arbitrário de arquivos sem autenticação, que afeta o endpoint de upload de anexos no front-end da extensão.
A versão 2.4.1 do Balbooa Forms foi lançada em 9 de julho com correções para a falha, mas atores de ameaça foram observados explorando-a na prática como um zero-day (vulnerabilidade explorada antes de uma correção estar disponível).
O defeito de segurança impacta todos os sites que executam o Balbooa Forms versão 2.4.0 ou anterior, e a exploração ativa exige ação imediata dos administradores.
Em junho, a extensão iCagenda para Joomla foi identificada como afetada por uma vulnerabilidade semelhante de upload arbitrário de arquivos no recurso de anexos, registrada como CVE-2026-48939 (nota 10 no CVSS).
Assim como a falha na Balbooa, a vulnerabilidade no iCagenda permite que invasores enviem código PHP para uma instalação vulnerável e obtenham RCE (Execução Remota de Código) sem necessidade de autenticação.
A JoomliC, desenvolvedora do iCagenda, teria observado a CVE sendo explorada na prática como zero-day em 15 de junho. A desenvolvedora disponibilizou correções nas versões 4.0.8 e 3.9.15 do iCagenda entre os dias 15 e 16 de junho.
Em 10 de julho, a agência de cibersegurança dos EUA, CISA (Agência de Cibersegurança e Infraestrutura), incluiu ambos os defeitos de segurança das extensões do Joomla em seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV, na sigla em inglês), instando agências federais a corrigirem as falhas em até três dias, conforme as orientações da BOD 26-04 (Diretriz Operacional Vinculante).
Embora a BOD 26-04 se aplique apenas a agências federais, todas as organizações são aconselhadas a revisar a lista KEV da CISA e corrigir as vulnerabilidades nela identificadas o mais rápido possível.