Важная информация для всех владельцев сайтов на Joomla! 8 июля 2026 года была обнаружена критическая уязвимость в популярном конструкторе форм Balbooa Forms (компонент com_baforms). Уязвимость позволяет неавторизованному злоумышленнику загружать исполняемые PHP-файлы на сервер и выполнять их, что приводит к полной компрометации сайта.

Уязвимость получила идентификатор CVE-2026-56291 и оценку 10.0 баллов по шкале CVSS v4.0, что соответствует максимальному уровню угрозы. Злоумышленники уже активно сканируют интернет в поисках уязвимых сайтов.

Разработчики Balbooa выпустили исправление в версии 2.4.1 9 июля 2026 года. Это обновление является критически срочным — промедление с установкой патча приведет к полной компрометации вашего сайта.

Суть угрозы: что именно было исправлено?

Уязвимость заключается в неограниченной загрузке файлов опасного типа (CWE-434) в компоненте Balbooa Forms. В отличие от многих других дыр в безопасности, эта атака не требует авторизации. Это означает, что хакеру не нужно знать ваш пароль от админки.

Как происходит взлом:

  1. Отсутствие проверок: В версиях до 2.4.0 обработчик загрузки файлов (form.uploadAttachmentFile) не проверял авторизацию пользователя, не требовал CSRF-токен и не ограничивал тип загружаемых файлов.

  2. Загрузка шелла: Злоумышленник отправляет HTTP-запрос к уязвимому обработчику, загружая файл с расширением .php. Система принимает расширение из имени файла, переданного атакующим, и сохраняет файл как есть.

  3. Выполнение кода: Файл сохраняется в папку /images/baforms/uploads/form-<id>/, которая доступна извне. Запросив этот файл в браузере, злоумышленник выполняет свой PHP-код на вашем сервере.

  4. Результат: Хакер получает полный доступ к файловой системе, может прочитать configuration.php с паролями от базы данных, создать скрытую учетную запись суперадминистратора, внедрить бэкдор или использовать сервер для вредоносных целей.

Кто в зоне риска?

В зоне риска находятся все сайты, на которых установлен компонент Balbooa Forms версии ниже 2.4.1, включая все версии от 1.0 до 2.4.0.

Обратите внимание
Уязвимость затрагивает именно компонент Balbooa Forms. Если вы используете другие продукты этого разработчика, необходимо проверить их отдельно.

Решение проблемы: пошаговая инструкция

Для устранения уязвимости необходимо выполнить следующие шаги.

Шаг 1: немедленное обновление Balbooa Forms

  1. Перейдите в панели управления Joomla в раздел Расширения → Управление → Обновления.

  2. Нажмите «Очистить кэш» и «Найти обновления».

  3. Найдите в списке обновление для Balbooa Forms (com_baforms).

  4. Установите версию 2.4.1 или выше.

Если обновление не отображается:
Скачайте последнюю версию вручную с официального сайта разработчика Balbooa и установите через Расширения → Управление → Установить.

Шаг 2: проверка признаков взлома

Поскольку уязвимость уже активно эксплуатировалась до выхода патча, обновление не гарантирует, что ваш сайт не был скомпрометирован ранее. Необходимо провести тщательную проверку.

  1. Проверьте папку загрузок: Через FTP или Менеджер файлов хостинга просмотрите папку /images/baforms/uploads/. Удалите любые подозрительные файлы, особенно с расширениями .php, .phtml.

  2. Проверьте учетные записи пользователей: В разделе Пользователи → Управление отсортируйте список по дате регистрации. Найдите и удалите любые подозрительные учетные записи с правами администратора, которые вы не создавали.

  3. Проверьте недавно измененные файлы: Обратите внимание на файлы, измененные в последние дни, особенно в корневой папке сайта и в папке /administrator.

Шаг 3: меры дополнительной защиты

Помимо обновления компонента, мы настоятельно рекомендуем:

  • Обновить ядро Joomla до актуальной версии.

  • Установить и настроить компонент Admin Tools Pro: Сгенерируйте жесткий .htaccess, включите блокировку выполнения PHP-скриптов в папках /images и /media, и активируйте защиту от CSRF-атак.

  • Включить двухфакторную аутентификацию для всех учетных записей с правами администратора и редактора.

  • Смените все пароли: пароль от базы данных, FTP/SSH, хостинг-панели.

Важно!
Если ваш сайт оказался взломан, и вы не знаете, что делать, либо сомневаетесь, то срочно обращайтесь к нам за помощью!

Упоминаемые термины:

Админка, Суперадминистратор, Balbooa Forms