Joomla Extension RCE: CISA Masukkan Dua Cacat Kritis ke Daftar Eksploitasi Aktif
Baca dalam 60 detik
- Dua ekstensi Joomla, Balbooa Forms dan iCagenda, memiliki celah unggah file tanpa autentikasi yang memungkinkan eksekusi kode jarak jauh (RCE) dengan skor CVSS 10.
- CISA telah menambahkan kedua kerentanan ke Katalog Kerentanan yang Dieksploitasi Diketahui (KEV) dan mewajibkan instansi federal AS menambal dalam tiga hari.
- Administrator situs di Indonesia yang menggunakan Joomla dengan ekstensi tersebut harus segera memperbarui ke versi terbaru untuk menghindari serangan ransomware atau pengambilalihan.

Dua celah keamanan kritis pada ekstensi populer Joomla, Balbooa Forms dan iCagenda, kini menjadi sasaran empuk peretas di alam liar. Badan keamanan siber Amerika Serikat (CISA) pada 10 Juli lalu memasukkan kedua kerentanan dengan skor bahaya maksimal 10 ke dalam katalog khusus, mendesak instansi federal untuk segera menambal dalam waktu tiga hari.
Kerentanan pertama, terdaftar sebagai CVE-2026-56291, menyerang ekstensi Balbooa Forms versi 2.4.0 ke bawah. Cacat ini terletak pada fitur unggah lampiran di sisi depan (frontend) yang tidak memerlukan autentikasi. Penyerang dapat mengirimkan file PHP berbahaya dan langsung mendapatkan kendali penuh atas server web. Pengembang Balbooa telah merilis versi 2.4.1 pada 9 Juli sebagai perbaikan, namun saat itu celah sudah dieksploitasi sebagai zero-day.
Kerentanan kedua, CVE-2026-48939, ditemukan pada ekstensi iCagenda yang digunakan untuk manajemen acara dan kalender. Mekanismenya serupa: penyerang tanpa login dapat mengunggah file arbitrer melalui fitur lampiran, lalu mengeksekusi kode dari jarak jauh. Pengembang JoomliC mengaku telah melihat eksploitasi aktif pada 15 Juni dan merilis tambalan di versi 4.0.8 dan 3.9.15 pada 15-16 Juni.
Bagi pengguna Joomla di Indonesia, ancaman ini tidak bisa dianggap sepele. Banyak situs pemerintahan, universitas, dan UKM di tanah air masih menggunakan Joomla dengan ekstensi pihak ketiga yang jarang diperbarui. Jika dieksploitasi, peretas dapat menyuntikkan kode untuk mencuri data pengunjung, menyebarkan malware, atau bahkan merekrut server menjadi bagian dari botnet. Serangan ransomware juga menjadi risiko nyata karena penyerang memiliki akses penuh ke sistem.
Menurut analis keamanan, lonjakan eksploitasi terhadap ekstensi CMS sering terjadi karena pengembang situs lalai memperbarui komponen. โKerentanan dengan skor 10 sangat langka, tetapi ketika muncul, peretas akan bergerak cepat. Jendela waktu antara ditemukannya celah dan penyebaran patch adalah momen paling berbahaya,โ ujar seorang pakar yang enggan disebut namanya.
Langkah yang harus segera dilakukan administrator situs adalah memperbarui Balbooa Forms ke versi 2.4.1 dan iCagenda ke versi 4.0.8 atau 3.9.15. Jika menggunakan versi yang lebih lama, disarankan menonaktifkan sementara ekstensi tersebut hingga pembaruan selesai. Selain itu, pemantauan log server dan penerapan aturan firewall aplikasi web (WAF) dapat membantu mendeteksi percobaan unggah file mencurigakan.
Dengan dimasukkannya kedua celah ini ke Katalog KEV CISA, tekanan untuk menambal tidak hanya berlaku bagi lembaga federal AS. Praktik terbaik mengharuskan semua organisasi, termasuk di Indonesia, untuk mengikuti rekomendasi CISA dan segera mengamankan sistem mereka. Pertanyaan yang kini mengemuka: apakah para administrator situs Joomla di Indonesia akan bergerak cepat, atau justru menjadi korban berikutnya?



