Kerentanan Zero-Day iCagenda dan Balbooa Forms di Joomla Mulai Dieksploitasi
Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) baru-baru ini menambahkan dua kerentanan keamanan kritis yang memengaruhi ekstensi iCagenda dan Balbooa Forms untuk Joomla ke dalam katalog Known Exploited Vulnerabilities (KEV). Penambahan ini terjadi setelah adanya laporan eksploitasi zero-day yang sedang berlangsung di lapangan.
Detail Kerentanan iCagenda dan Balbooa Forms di Joomla
Kedua kerentanan ini mendapat skor maksimal 10.0 pada sistem penilaian CVSS, yang menandakan risiko keamanan tertinggi. Berikut rinciannya:
- CVE-2026-48939 – Kerentanan pada ekstensi iCagenda yang memungkinkan unggahan file sembarangan melalui fitur lampiran file, yang berujung pada unggahan dan eksekusi kode PHP berbahaya.
- CVE-2026-56291 – Kerentanan pada ekstensi Balbooa Forms yang memungkinkan unggahan file sembarangan tanpa otentikasi sehingga bisa menjalankan eksekusi kode jarak jauh.
Berdasarkan laporan dari mySites.guru, sebuah layanan dashboard berbasis cloud untuk pengelolaan situs WordPress dan Joomla, eksploitasi zero-day untuk CVE-2026-48939 telah terjadi sejak 15 Juni 2026. Serangan ini otomatis menargetkan situs Joomla dengan ekstensi iCagenda yang terpasang, khususnya melalui formulir "Submit an Event" yang memungkinkan pengguna mengajukan acara ke kalender.
"Kami pertama kali melihatnya di log akses klien: pemindai otomatis yang mengidentifikasi sebagai 'icagenda-batch/1.0' mengambil token, mengirim unggahan berbahaya ke endpoint submit, lalu mengakses shell yang dipasang di jalur yang persis sama dengan lokasi penulisan lampiran oleh komponen," kata mySites.guru.
Kerentanan ini memengaruhi versi:
- Versi 4.x hingga dan termasuk 4.0.7
- Versi 3.x legacy dari 3.2.1 hingga dan termasuk 3.9.14
JoomliC telah merilis pembaruan untuk mengatasi masalah ini pada versi 4.0.8 dan 3.9.15. Para pemilik situs disarankan untuk memeriksa folder "images/icagenda/frontend/attachments/" guna memastikan tidak ada file PHP mencurigakan yang dipasang dan menghapusnya segera.
Eksploitasi Zero-Day pada Balbooa Forms
MySites.guru juga mengamati eksploitasi zero-day pada CVE-2026-56291 yang memengaruhi Balbooa Forms versi hingga 2.4.0. Kerentanan ini sudah diperbaiki pada versi 2.4.1.
"Hingga versi 2.4.0, fitur unggahan lampiran frontend memiliki kelemahan serius: menerima file dari pengunjung anonim tanpa login, tanpa token CSRF, dan tanpa pemeriksaan tipe file," jelas mySites.guru. "Penyerang dapat mengunggah file PHP ke folder publik dan menjalankannya, yang merupakan eksekusi kode jarak jauh tanpa otentikasi, konsekuensi terburuk dari sebuah kerentanan web."
Kerentanan ini ditemukan pada 8 Juli 2026 setelah serangan langsung pada salah satu pelanggan mereka. Indikator kompromi yang perlu diperiksa meliputi:
- Periksa folder unggahan Balbooa Forms (default: images/baforms/uploads) untuk file yang bukan gambar atau dokumen, terutama file berekstensi PHP.
- Audit daftar pengguna Joomla untuk menemukan akun administrator mencurigakan.
- Periksa file PHP yang baru diubah atau tidak dikenal di seluruh situs.
Respons Pemerintah dan Imbauan Keamanan
Karena eksploitasi aktif, badan-badan di bawah Federal Civilian Executive Branch (FCEB) di Amerika Serikat diwajibkan mengimplementasikan perbaikan sebelum tanggal 13 Juli 2026.
Sementara itu, Australian Cyber Security Centre (ACSC) mengeluarkan peringatan tentang kampanye global yang menargetkan berbagai kerentanan pada sistem manajemen konten (CMS) dan plugin. Kampanye ini melibatkan pemindaian otomatis yang mencari celah untuk mengunggah web shell dan mendapatkan akses kendali jarak jauh ke server web.
Kerentanan lain yang termasuk dalam daftar serangan global ini antara lain:
- Sneeit Framework (CVE-2025-6389)
- WPBookit (WordPress) (CVE-2025-7852)
- Gravity Forms (WordPress) (CVE-2025-12352)
- Craft CMS (CVE-2025-32432)
- Ninja Forms (WordPress) (CVE-2026-0740)
- MaxSite CMS (CVE-2026-3395)
- Breeze Cache (WordPress) (CVE-2026-3844)
- WavePlayer (WordPress) (CVE-2025-12057)
- MetInfo CMS (CVE-2026-29014)
- Joomla JCE (CVE-2026-48907)
ACSC menegaskan, "Kampanye eksploitasi global yang sangat masif ini menunjukkan risiko siber yang berkembang pesat bagi organisasi. Kemajuan dalam AI mempercepat kecepatan dan skala operasi siber, mengurangi waktu antara pengungkapan kerentanan dan eksploitasi."
Analisis Redaksi
Menurut pandangan redaksi, penambahan kerentanan iCagenda dan Balbooa Forms ke daftar KEV oleh CISA menandai peringatan serius bagi para pengelola situs Joomla. Eksploitasi zero-day yang memungkinkan unggahan file PHP dan eksekusi kode jarak jauh merupakan ancaman kritis yang bisa mengakibatkan peretasan total situs, pencurian data, atau penyuntikan malware.
Yang patut diperhatikan adalah bahwa serangan ini tampaknya terotomatisasi dan menyasar secara luas, sehingga situs yang mengabaikan pembaruan berisiko tinggi menjadi korban berikutnya. Selain itu, imbauan dari ACSC untuk mewaspadai kampanye global yang memanfaatkan berbagai kelemahan CMS memperlihatkan tren meningkatnya serangan berbasis web shell yang sulit dideteksi dan dikendalikan.
Ke depan, pengelola situs Joomla dan CMS lain wajib menjaga sistem mereka dengan rajin melakukan pembaruan, melakukan audit keamanan secara berkala, dan menerapkan mekanisme proteksi tambahan seperti Web Application Firewall (WAF). Memantau aktivitas pengguna dan file yang tidak biasa juga menjadi langkah penting untuk mencegah eksploitasi lebih lanjut.
Untuk pembaruan resmi dan panduan mitigasi, kunjungi halaman sumber asli dan situs resmi Joomla.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0