14
Jul 2026
Alerta de Vulnerabilidade - Balbooa Forms (Joomla)
SISTEMAS AFETADOS
Balbooa Forms (Joomla)
| CVSS v4.0 - Resumo Técnico |
| Vetor |
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:A/AU:Y/U:Red |
| CVSS |
10.0 / 10 |
Crítico |
| Vetor de Ataque |
Rede |
Exploração remota via rede |
| Complexidade |
Baixa |
Fácil de explorar |
| Requisitos de Ataque |
Nenhum |
Sem pré-condições para exploração |
| Privilégios |
Nenhum |
Sem autenticação |
| Interação |
Nenhuma |
Não requer intervenção do utilizador |
Impacto no sistema vulnerável (C/I/A) |
Alta / Alta / Alta |
Comprometimento total da confidencialidade, integridade e disponibilidade |
Impacto em sistemas subsequentes (C/I/A) |
Alta / Alta / Alta |
O impacto estende-se ao servidor subjacente |
| Resumo |
Vulnerabilidade crítica (CVSS 10.0) de upload de ficheiro arbitrário não autenticado na extensão Balbooa Forms para Joomla, que resulta em execução remota de código (RCE). Exploração remota via rede, sem autenticação e sem interação do utilizador, com comprometimento total do sistema vulnerável e do servidor subjacente. Explorada como zero-day. |
Descrição
Vulnerabilidade crítica, identificada como CVE-2026-56291/EUVD-2026-19182, de upload de ficheiros sem restrições (CWE-434) na funcionalidade de anexos do frontend da extensão Balbooa Forms para Joomla [1][2]. O carregamento de anexos aceita ficheiros de qualquer utilizador anónimo, sem autenticação, sem token CSRF e sem validação do tipo de ficheiro, permitindo a gravação de ficheiros PHP numa pasta pública [3]. Encontram-se afetadas as versões até 2.4.0 (inclusive); a vulnerabilidade foi corrigida na versão 2.4.1 [3].
Impacto
A exploração permite a um atacante remoto e não autenticado carregar e executar um ficheiro PHP, resultando em possível execução remota de código (RCE) e comprometimento do servidor Web [3].
Resolução
Recomenda-se a atualização imediata para a versão 2.4.1 do Balbooa Forms [3].
Medidas de segurança adicionais:
- Auditar as pastas públicas de anexos de forma a identificar ficheiros PHP não autorizados e removê-los;
- Restringir o acesso não autenticado aos endpoints de submissão de formulários ao nível do servidor Web ou de Web Application Firewall (WAF);
- Rever os registos de acesso do servidor Web de forma a identificar pedidos HTTP POST suspeitos aos endpoints de upload.
Referências
[1] -
https://nvd.nist.gov/vuln/detail/CVE-2026-56291[2] -
https://euvd.enisa.europa.eu/vulnerability/CVE-2026-56291[3] -
https://www.balbooa.com/joomla-forms