Содержание
Важная информация для всех владельцев сайтов на Joomla! 8 июля 2026 года была обнаружена критическая уязвимость в популярном конструкторе форм Balbooa Forms (компонент com_baforms). Уязвимость позволяет неавторизованному злоумышленнику загружать исполняемые PHP-файлы на сервер и выполнять их, что приводит к полной компрометации сайта.
Уязвимость получила идентификатор CVE-2026-56291 и оценку 10.0 баллов по шкале CVSS v4.0, что соответствует максимальному уровню угрозы. Злоумышленники уже активно сканируют интернет в поисках уязвимых сайтов.
Разработчики Balbooa выпустили исправление в версии 2.4.1 9 июля 2026 года. Это обновление является критически срочным — промедление с установкой патча приведет к полной компрометации вашего сайта.
Суть угрозы: что именно было исправлено?
Уязвимость заключается в неограниченной загрузке файлов опасного типа (CWE-434) в компоненте Balbooa Forms. В отличие от многих других дыр в безопасности, эта атака не требует авторизации. Это означает, что хакеру не нужно знать ваш пароль от админки.
Как происходит взлом:
-
Отсутствие проверок: В версиях до 2.4.0 обработчик загрузки файлов (
form.uploadAttachmentFile) не проверял авторизацию пользователя, не требовал CSRF-токен и не ограничивал тип загружаемых файлов. -
Загрузка шелла: Злоумышленник отправляет HTTP-запрос к уязвимому обработчику, загружая файл с расширением
.php. Система принимает расширение из имени файла, переданного атакующим, и сохраняет файл как есть. -
Выполнение кода: Файл сохраняется в папку
/images/baforms/uploads/form-<id>/, которая доступна извне. Запросив этот файл в браузере, злоумышленник выполняет свой PHP-код на вашем сервере. -
Результат: Хакер получает полный доступ к файловой системе, может прочитать
configuration.phpс паролями от базы данных, создать скрытую учетную запись суперадминистратора, внедрить бэкдор или использовать сервер для вредоносных целей.
Кто в зоне риска?
В зоне риска находятся все сайты, на которых установлен компонент Balbooa Forms версии ниже 2.4.1, включая все версии от 1.0 до 2.4.0.
Решение проблемы: пошаговая инструкция
Для устранения уязвимости необходимо выполнить следующие шаги.
Шаг 1: немедленное обновление Balbooa Forms
-
Перейдите в панели управления Joomla в раздел Расширения → Управление → Обновления.
-
Нажмите «Очистить кэш» и «Найти обновления».
-
Найдите в списке обновление для Balbooa Forms (com_baforms).
-
Установите версию 2.4.1 или выше.
Шаг 2: проверка признаков взлома
Поскольку уязвимость уже активно эксплуатировалась до выхода патча, обновление не гарантирует, что ваш сайт не был скомпрометирован ранее. Необходимо провести тщательную проверку.
-
Проверьте папку загрузок: Через FTP или Менеджер файлов хостинга просмотрите папку
/images/baforms/uploads/. Удалите любые подозрительные файлы, особенно с расширениями.php,.phtml. -
Проверьте учетные записи пользователей: В разделе Пользователи → Управление отсортируйте список по дате регистрации. Найдите и удалите любые подозрительные учетные записи с правами администратора, которые вы не создавали.
-
Проверьте недавно измененные файлы: Обратите внимание на файлы, измененные в последние дни, особенно в корневой папке сайта и в папке
/administrator.
Шаг 3: меры дополнительной защиты
Помимо обновления компонента, мы настоятельно рекомендуем:
-
Обновить ядро Joomla до актуальной версии.
-
Установить и настроить компонент Admin Tools Pro: Сгенерируйте жесткий
.htaccess, включите блокировку выполнения PHP-скриптов в папках/imagesи/media, и активируйте защиту от CSRF-атак. -
Включить двухфакторную аутентификацию для всех учетных записей с правами администратора и редактора.
-
Смените все пароли: пароль от базы данных, FTP/SSH, хостинг-панели.


