PT-2026-51137 · Joomla · Icagenda
Phil Taylor
·
Publicado
2026-06-20
·
Atualizado
2026-07-14
·
CVE-2026-48939
CVSS v4.0
10
Crítica
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:A/AU:Y/U:Red |
Nome do Software Vulnerável e Versões Afetadas
iCagenda versões anteriores a 4.0.8
iCagenda versões anteriores a 3.9.15
Description
Uma falha na extensão iCagenda para Joomla permite que usuários não autenticados façam o upload de arquivos arbitrários por meio do recurso de anexo do formulário público de envio de eventos. Devido a restrições insuficientes nos tipos de arquivos, um invasor pode carregar um web shell PHP para obter a execução remota de código no servidor. Este problema foi relatado como ativamente explorado como um zero-day, permitindo potencialmente que invasores roubem dados, desfigurem páginas ou instalem backdoors.
Recommendations
Atualize para o iCagenda versão 4.0.8.
Atualize para o iCagenda versão 3.9.15.
Exploit
Correção
RCE
Improper Access Control
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Icagenda