CISA Peringatkan Celah Kritis pada Ekstensi Joomla yang Sedang Dieksploitasi untuk Serangan RCE

Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) memperingatkan bahwa dua kerentanan kritis pada ekstensi iCagenda dan Balbooa Forms untuk Joomla saat ini sedang dieksploitasi secara aktif oleh pelaku ancaman untuk mengambil alih situs web melalui teknik Remote Code Execution (RCE).
Karena tingkat risikonya yang sangat tinggi, CISA memasukkan kedua celah tersebut ke dalam Known Exploited Vulnerabilities (KEV) Catalog dan mewajibkan seluruh instansi pemerintah federal AS untuk segera menerapkan patch atau mitigasi dalam waktu tiga hari.
Dua Kerentanan Kritis yang Sedang Dieksploitasi
CVE-2026-48939 – iCagenda
Kerentanan pertama ditemukan pada ekstensi iCagenda, plugin Joomla yang banyak digunakan untuk membuat kalender acara dan sistem registrasi event.
Celah ini memungkinkan penyerang mengunggah file berbahaya tanpa pembatasan tipe file melalui fitur lampiran (attachment).
Akibatnya, pelaku dapat mengunggah file PHP berbahaya yang kemudian dieksekusi langsung di server, sehingga memungkinkan:
- Remote Code Execution (RCE)
- Instalasi web shell
- Pencurian data
- Pengambilalihan penuh situs web
Menurut CISA, kerentanan ini berasal dari mekanisme upload file yang tidak membatasi jenis file berbahaya.
CVE-2026-56291 – Balbooa Forms
Kerentanan kedua berada pada Balbooa Forms, plugin pembuat formulir (drag-and-drop form builder) yang juga menyediakan fitur upload file.
Fitur tersebut dapat dimanfaatkan untuk mengunggah file yang dapat dieksekusi, termasuk script PHP, sehingga penyerang dapat memperoleh akses penuh ke server.
Jika berhasil dieksploitasi, dampaknya meliputi:
- Remote Code Execution
- Pengambilalihan website
- Instalasi malware
- Pemasangan backdoor permanen
Sudah Dieksploitasi Sebelum Patch Dirilis
Platform keamanan website mySites.guru melaporkan bahwa kedua kerentanan tersebut telah dimanfaatkan dalam serangan otomatis bahkan sebelum patch resmi tersedia.
Untuk iCagenda, aktivitas eksploitasi terdeteksi hanya beberapa jam sebelum pengembang merilis pembaruan versi 4.0.8 yang memperbaiki kerentanan tersebut.
Sementara itu, Balbooa Forms menjadi korban eksploitasi zero-day. Serangan telah berlangsung sejak 8 Juli 2026, sehari sebelum vendor merilis patch keamanan.
Hal ini menunjukkan bahwa pelaku ancaman telah mengetahui kelemahan tersebut lebih dahulu dan segera memanfaatkannya untuk menyerang situs Joomla yang rentan.
Versi yang Telah Diperbaiki
Administrator Joomla disarankan segera memperbarui ekstensi yang digunakan ke versi berikut:
iCagenda
- Versi 4.0.8
- Versi 3.9.15
Patch tersebut dirilis pada 15–16 Juni 2026.
Balbooa Forms
- Versi 2.4.1
Pembaruan keamanan ini dirilis pada 9 Juli 2026.
Langkah Mitigasi
Apabila situs Joomla menggunakan salah satu ekstensi tersebut, administrator sebaiknya segera:
- Memastikan apakah iCagenda atau Balbooa Forms masih digunakan.
- Memperbarui ke versi terbaru yang telah diperbaiki.
- Memeriksa direktori upload untuk mencari file PHP atau file mencurigakan.
- Melakukan audit log web server guna mendeteksi aktivitas upload yang tidak sah.
- Menghapus web shell atau backdoor apabila ditemukan indikasi kompromi.
Karena kedua kerentanan sudah masuk dalam daftar KEV milik CISA, administrator tidak disarankan menunda proses pembaruan. Website yang belum diperbarui berpotensi menjadi sasaran serangan otomatis yang dapat berujung pada pengambilalihan penuh server.
Sumber: CISA








