Carga de archivos no autenticados en Balbooa Forms para Joomla Lun, 13/07/2026 - 09:32

        Aviso

Recursos Afectados
          com_baforms versión 2.4.0 y anteriores.

Descripción
          mySites.guru ha publicado una vulnerabilidad de severidad crítica en Balbooa Forms que, en caso de ser explotada, podría permitir ejecución remota de código.CISA ha indicado que esta vulnerabilidad podría estar siendo explotada de forma activa.

Identificador
          INCIBE-2026-479

Solución
          Balbooa ha solucionado el problema en la versión 2.4.1, publicada el 9 de julio de 2026.

Detalle
          CVE-2026-56291: la función de carga de archivos en el frontend de Balbooa Forms aceptaba archivos de cualquier usuario sin autenticación, sin token CSRF y sin lista de permitidos en la extensión del archivo. Debido a que confiaba en el nombre del archivo del remitente, la carga .php termina en un directorio público y podía ejecutarse, lo que constituye una ejecución remota de código sin autenticación. 

        5 - Crítica

  Listado de referencias

          Balbooa Forms Fixes an Unauthenticated File Upload RCE

          KEV - Balbooa Forms Unrestricted Upload of File with Dangerous Type Vulnerability

Etiquetas

        Actualización
        CMS
        RCE
        Vulnerabilidad

CVE

                        Identificador CVE
                        Severidad
                        Explotación
                        Fabricante

                  CVE-2026-56291
                  Crítica
                  Si
                  Balbooa Forms

Llegir l'article original