Ir para conteúdo

Alerta de Vulnerabilidade - iCagenda (Joomla)

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
iCagenda (Joomla)
ECOSSISTEMA
Joomla
CVSS v4.0 - Resumo Técnico
Vetor CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:A/AU:Y/U:Red
CVSS 10.0 / 10 Crítico
Vetor de Ataque Rede Exploração remota via rede
Complexidade Baixa Fácil de explorar
Requisitos de Ataque Nenhum Sem pré-condições para exploração
Privilégios Nenhum Sem autenticação
Interação Nenhuma Não requer intervenção do utilizador
Impacto no sistema vulnerável
(C/I/A)
Alta / Alta / Alta Comprometimento total da confidencialidade, integridade e disponibilidade
Impacto em sistemas subsequentes
(C/I/A)
Alta / Alta / Alta O impacto estende-se ao servidor subjacente
Resumo Vulnerabilidade crítica (CVSS 10.0) de upload de ficheiro não autenticado que resulta em execução remota de código (RCE). Exploração remota via rede, sem autenticação e sem interação do utilizador, com comprometimento total do sistema vulnerável e do servidor subjacente. Ativamente explorada.

Descrição
Vulnerabilidade crítica, identificada como CVE-2026-48939/EUVD-2026-38109, de upload de ficheiros sem restrições (CWE-434) na funcionalidade de anexos do formulário público de submissão de eventos da extensão iCagenda para Joomla [1][2]. O controlo de acesso é aplicado apenas na camada de apresentação (e não no controlador), pelo que um atacante não autenticado pode submeter ficheiros sem validação de extensão nem de tipo, que são gravados num diretório acessível a partir da Web e executados como código PHP [3][4]. Encontram-se afetadas as versões iCagenda 3.2.1 a 4.0.7 (inclusive) e as versões 3.9.x anteriores a 3.9.15 [1][3].

Impacto
A exploração permite a um atacante remoto e não autenticado carregar um web shell em PHP através do formulário de submissão de eventos e executá-lo, obtendo execução remota de código (RCE) no servidor Web e o comprometimento total da aplicação [4]. Existe exploração ativa, em campanhas automatizadas dirigidas a websites Joomla com o iCagenda instalado[1].

Resolução
Recomenda-se a atualização imediata para a versão 4.0.8 ou 3.9.15 da extensão iCagenda, que introduzem a validação de tipos de ficheiro através do MediaHelper do Joomla e transferem a verificação de acesso para o controller [3]. 

Medidas de segurança adicionais:
  • Verificar a existência de ficheiros PHP não autorizados no diretório images/icagenda/frontend/attachments/ e removê-los;
  • Desativar a funcionalidade de anexos no formulário de submissão de eventos até à aplicação da atualização;
  • Restringir o acesso não autenticado ao endpoint de processamento do formulário ao nível do servidor Web ou de Web Application Firewall (WAF);
  • Rever os registos de acesso do servidor Web de forma a identificar pedidos HTTP POST suspeitos ao endpoint option=com_icagenda&task=registration.submit.
Referências
[1] - https://nvd.nist.gov/vuln/detail/CVE-2026-48939
[2] - https://euvd.enisa.europa.eu/vulnerability/CVE-2026-48939
[3] - https://www.icagenda.com/docs/changelog/icagenda-4-0-8
Última atualização em 07-09-2022