14
Jul 2026
Alerta de Vulnerabilidade - iCagenda (Joomla)
SISTEMAS AFETADOS
iCagenda (Joomla)
| CVSS v4.0 - Resumo Técnico |
| Vetor |
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:A/AU:Y/U:Red |
| CVSS |
10.0 / 10 |
Crítico |
| Vetor de Ataque |
Rede |
Exploração remota via rede |
| Complexidade |
Baixa |
Fácil de explorar |
| Requisitos de Ataque |
Nenhum |
Sem pré-condições para exploração |
| Privilégios |
Nenhum |
Sem autenticação |
| Interação |
Nenhuma |
Não requer intervenção do utilizador |
Impacto no sistema vulnerável (C/I/A) |
Alta / Alta / Alta |
Comprometimento total da confidencialidade, integridade e disponibilidade |
Impacto em sistemas subsequentes (C/I/A) |
Alta / Alta / Alta |
O impacto estende-se ao servidor subjacente |
| Resumo |
Vulnerabilidade crítica (CVSS 10.0) de upload de ficheiro não autenticado que resulta em execução remota de código (RCE). Exploração remota via rede, sem autenticação e sem interação do utilizador, com comprometimento total do sistema vulnerável e do servidor subjacente. Ativamente explorada. |
Descrição
Vulnerabilidade crítica, identificada como CVE-2026-48939/EUVD-2026-38109, de upload de ficheiros sem restrições (CWE-434) na funcionalidade de anexos do formulário público de submissão de eventos da extensão iCagenda para Joomla [1][2]. O controlo de acesso é aplicado apenas na camada de apresentação (e não no controlador), pelo que um atacante não autenticado pode submeter ficheiros sem validação de extensão nem de tipo, que são gravados num diretório acessível a partir da Web e executados como código PHP [3][4]. Encontram-se afetadas as versões iCagenda 3.2.1 a 4.0.7 (inclusive) e as versões 3.9.x anteriores a 3.9.15 [1][3].
Impacto
A exploração permite a um atacante remoto e não autenticado carregar um web shell em PHP através do formulário de submissão de eventos e executá-lo, obtendo execução remota de código (RCE) no servidor Web e o comprometimento total da aplicação [4]. Existe exploração ativa, em campanhas automatizadas dirigidas a websites Joomla com o iCagenda instalado[1].
Resolução
Recomenda-se a atualização imediata para a versão 4.0.8 ou 3.9.15 da extensão iCagenda, que introduzem a validação de tipos de ficheiro através do MediaHelper do Joomla e transferem a verificação de acesso para o controller [3].
Medidas de segurança adicionais:
- Verificar a existência de ficheiros PHP não autorizados no diretório images/icagenda/frontend/attachments/ e removê-los;
- Desativar a funcionalidade de anexos no formulário de submissão de eventos até à aplicação da atualização;
- Restringir o acesso não autenticado ao endpoint de processamento do formulário ao nível do servidor Web ou de Web Application Firewall (WAF);
- Rever os registos de acesso do servidor Web de forma a identificar pedidos HTTP POST suspeitos ao endpoint option=com_icagenda&task=registration.submit.
Referências
[1] -
https://nvd.nist.gov/vuln/detail/CVE-2026-48939[2] -
https://euvd.enisa.europa.eu/vulnerability/CVE-2026-48939[3] -
https://www.icagenda.com/docs/changelog/icagenda-4-0-8