事情是從一次客戶網(wǎng)站的訪問(wèn)日志里開始的:一個(gè)標(biāo)著“icagenda-batch/1.0”的自動(dòng)掃描器,先抓取了令牌,接著向“Submit an Event”端點(diǎn)投遞了一個(gè)惡意文件,最后精準(zhǔn)地跑到組件寫附件的目錄下,把植入的后門拉起來(lái)。整套動(dòng)作一氣呵成,mySites.guru 的安全團(tuán)隊(duì)首次發(fā)現(xiàn)這一幕時(shí),攻擊已經(jīng)至少持續(xù)了半個(gè)月——從2026年6月15日起,這個(gè)漏洞就被當(dāng)成零日批量利用了。
美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)隨之將兩個(gè)滿分漏洞納入已知被利用漏洞目錄,一石激起千層浪。兩個(gè)漏洞的CVSS評(píng)分為10.0:CVE-2026-48939 涉及 Joomla 的 iCagenda 擴(kuò)展,攻擊者可借“提交活動(dòng)”表單的上傳功能傳一個(gè)任意文件,最終變成 PHP 代碼執(zhí)行;CVE-2026-56291 則出自 Balbooa Forms 擴(kuò)展,同樣因任意文件上傳導(dǎo)致遠(yuǎn)程代碼執(zhí)行。一邊是自動(dòng)化攻擊腳本不歇腳地掃描、投遞、取回后門,另一邊是站主可能還不知道自己用的擴(kuò)展存在可以被隨手穿上的大口子。
![]()
站在攻擊者的視角看,iCagenda 的“提交活動(dòng)”功能本就是向前端用戶開放的,附件上傳在 4.0.7 及更早版本、遺留 3.9.14 及更早版本中未設(shè)防,就像敞開的后門。mySites.guru 描述的那個(gè)場(chǎng)景——獲取令牌、上傳惡意載荷、直接走到附件存儲(chǔ)路徑執(zhí)行——暴露的是整個(gè)攻擊鏈毫無(wú)斷點(diǎn)。辯方也許會(huì)抬出“這只是小眾的日歷組件”之類的話,可事實(shí)是,只要有安裝 iCagenda 的 Joomla 站點(diǎn)暴露在公網(wǎng),就會(huì)被自動(dòng)收割,不需要精準(zhǔn)定向,完全是撒網(wǎng)式攻擊。
Balbooa Forms 那一邊的局面更難看。直到 2.4.0 版本,前端附件上傳仍接受任何匿名訪客的文件,既不校驗(yàn)登錄態(tài),也沒有 CSRF 令牌,更不檢查文件類型。安全研究員給出的說(shuō)法很直白:“攻擊者可將 PHP 文件上傳到公開目錄然后運(yùn)行,這是無(wú)需認(rèn)證的遠(yuǎn)程代碼執(zhí)行,是網(wǎng)頁(yè)漏洞能達(dá)成的最糟結(jié)局。” 這套路數(shù)于2026年7月8日在一次針對(duì)客戶的實(shí)時(shí)攻擊中暴露,mySites.guru 當(dāng)天就公布了觀測(cè)到的入侵指標(biāo)。此時(shí)若還有人覺得“沒打我就可以先不修”,攻擊方的劇本已經(jīng)翻過(guò)好幾頁(yè)了。
我的判斷很明確:只要你的 Joomla 站點(diǎn)裝了 iCagenda(4.x 至 4.0.7、遺留 3.x 至 3.9.14)或 Balbooa Forms(2.4.0 及之前版本),立即升級(jí)到 iCagenda 4.0.8/3.9.15 和 Balbooa Forms 2.4.1,這件事沒有等等看的空間。補(bǔ)完漏洞之后還有兩道作業(yè):去 “images/icagenda/frontend/attachments/” 和 “images/baforms/uploads” 目錄下排查任何可疑的 PHP 文件,特別是那些名字不像圖片或文檔的東西;再把 Joomla 用戶列表翻一遍,檢查有沒有突然多出來(lái)的管理員賬戶,并在整個(gè)站點(diǎn)審計(jì)最近被修改過(guò)或不熟悉的 PHP 文件。對(duì)于美國(guó)聯(lián)邦民事行政部門來(lái)說(shuō),時(shí)鐘已經(jīng)定在了2026年7月13日——必須在這個(gè)日期前完成修復(fù)。
這場(chǎng)零日風(fēng)波還掀開了一角更大的幕布。澳大利亞方面同樣發(fā)出警告,指向針對(duì)脆弱內(nèi)容管理系統(tǒng)的全球性攻擊活動(dòng)。雖然相關(guān)披露尚未展開全部細(xì)節(jié),但兩個(gè)滿分漏洞同步被列為活躍利用的案例,已經(jīng)足以提醒運(yùn)營(yíng)者:CMS 擴(kuò)展的安全性不能被邊緣化,第三方插件的每一個(gè)上傳入口,都可能是攻防天平上最重的砝碼。
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.