Важная информация для всех владельцев сайтов на Joomla! 9 июля 2026 была обнаружена критическая уязвимость в популярном компоненте для email-рассылок AcyMailing (компонент com_acym). Уязвимость позволяет неавторизованному злоумышленнику выполнять произвольные SQL-запросы к базе данных сайта, что приводит к утечке конфиденциальных данных.

Уязвимость получила идентификатор CVE-2026-56292. По оценке CVSS 4.0, её опасность оценивается в 9.2 балла (критический уровень). Злоумышленники уже активно сканируют интернет в поисках уязвимых сайтов.

Разработчики Acyba выпустили исправление в версии 10.11.1 9 июля 2026 года. Это обновление является критически срочным — промедление с установкой патча приведет к утечке всех данных вашего сайта, включая пароли пользователей.

Суть угрозы: что именно было исправлено?

Уязвимость заключается в SQL-инъекции (CWE-89) в компоненте AcyMailing. В отличие от многих других дыр в безопасности, эта атака не требует авторизации. Это означает, что хакеру не нужно знать ваш пароль от админки.

Как происходит взлом:

  1. Отсутствие проверок: В версиях до 10.11.0 публичный фронтенд-эндпоинт принимал параметры запроса и помещал их напрямую в список колонок SQL-запроса SELECT без экранирования или кавычек. Стандартный текстовый фильтр Joomla, который применялся к параметрам, удаляет HTML, но ничего не делает с SQL-синтаксисом.

  2. Выполнение запроса: Злоумышленник отправляет специально сформированный HTTP-запрос к уязвимому эндпоинту, который превращает запрос в чтение из любой таблицы базы данных Joomla.

  3. Получение данных: Результат запроса возвращается в ответе сервера. Никакой учетной записи, никакого CSRF-токена не требуется.

  4. Результат: Хакер получает доступ к учетным записям пользователей Joomla (включая хеши паролей), записям статей, конфигурации расширений и другим данным.

Кто в зоне риска?

В зоне риска находятся все сайты, на которых установлен компонент AcyMailing версии ниже 10.11.1, включая все версии с 6.0.0 по 10.11.0.

Обратите внимание:
Уязвимость затрагивает не только Joomla, но и WordPress! AcyMailing для WordPress построен на той же кодовой базе и содержит ту же уязвимость. Обновление до версии 10.11.1 необходимо для обеих платформ.

Решение проблемы: пошаговая инструкция

Для устранения уязвимости необходимо выполнить следующие шаги.

Шаг 1: немедленное обновление AcyMailing

  1. Перейдите в панели управления Joomla в раздел Расширения → Управление → Обновления.

  2. Нажмите «Очистить кэш» и «Найти обновления».

  3. Найдите в списке обновление для AcyMailing (com_acym).

  4. Установите версию 10.11.1 или выше.

Если обновление не отображается:
Скачайте последнюю версию вручную с официального сайта разработчика Acyba и установите через Расширения → Управление → Установить.

Шаг 2: проверка признаков взлома

Поскольку уязвимость позволяет читать данные из базы данных, необходимо провести тщательную проверку, особенно если вы подозреваете, что сайт мог быть скомпрометирован.

  1. Смените все пароли: Пароль от базы данных, FTP/SSH, хостинг-панели, а также пароли всех пользователей с правами администратора.

  2. Проверьте учетные записи пользователей: В разделе Пользователи → Управление отсортируйте список по дате регистрации. Найдите и удалите любые подозрительные учетные записи с правами администратора, которые вы не создавали.

  3. Проверьте журналы доступа: Просмотрите логи сервера на наличие подозрительных запросов к компоненту AcyMailing, особенно с необычными параметрами.

Шаг 3: меры дополнительной защиты

Помимо обновления компонента, мы настоятельно рекомендуем:

  • Обновить ядро Joomla до актуальной версии.

  • Установить и настроить компонент Admin Tools Pro: Сгенерируйте жесткий .htaccess, активируйте защиту от SQL-инъекций и CSRF-атак.

  • Регулярно создавать резервные копии сайта, чтобы иметь возможность быстрого восстановления в случае инцидента.

Важно!
Если ваш сайт оказался взломан, и вы не знаете, что делать, либо сомневаетесь, то срочно обращайтесь к нам за помощью!

Упоминаемые термины:

HTML, Админка, AcyMailing