A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos incluiu em 10 de julho de 2026 duas falhas de envio irrestrito de arquivos no catálogo de vulnerabilidades conhecidas e exploradas. A CVE-2026-48939 afeta o iCagenda e pode resultar no envio e na execução de código PHP. A CVE-2026-56291 afeta o Balbooa Forms, permite envio arbitrário sem autenticação e pode levar à execução remota de código.

O prazo federal indicado para mitigação foi 13 de julho. Administradores de ambientes Joomla devem localizar as extensões afetadas, verificar a exposição pública, aplicar as orientações dos fornecedores e revisar indícios de arquivos executáveis enviados indevidamente. A CISA recomenda descontinuar o produto quando não houver mitigação disponível; o uso dessas falhas em campanhas de ransomware permanece desconhecido.

Fonte e transparência

Fonte original: CISA KEV

Data de publicação original: 10/07/2026

O IPSecure Hub resume e contextualiza em português do Brasil. Detalhes ofensivos, PoCs e instruções de exploração não são reproduzidos.