AcyMailing – unauthentifizierte SQL-Injection (Datenbank auslesbar)
Sichere Version: AcyMailing 10.11.1 oder neuer · über AcyMailing
Auf einen Blick
com_acym)Worum geht es?
AcyMailing (com_acym) verwaltet Newsletter und E-Mail-Kampagnen in Joomla. Ein öffentlich – also ohne Anmeldung – erreichbarer Frontend-Endpunkt fügte übergebene Parameter ungefiltert in eine SQL-Abfrage ein. Damit ließ sich die Abfrage manipulieren (SQL-Injection).
Über diesen Weg kann ein Angreifer beliebige Datenbank-Tabellen auslesen – zum Beispiel die Benutzertabelle mit Anmeldenamen und (gehashten) Passwörtern, aber auch Beiträge und interne Konfigurationsdaten. Es ist ein reiner Lesezugriff, der jedoch sensible Daten offenlegt und weitere Angriffe (etwa das Knacken von Passwort-Hashes) vorbereitet.
Verwundbar sind die Versionen 6.0.0 bis einschließlich 10.11.0. Die Korrektur steht seit dem 9. Juli 2026 als 10.11.1 bereit. Die Lücke trägt die Kennung CVE-2026-56292.
Bin ich betroffen? – So prüfen Sie es
- Backend öffnen
Melden Sie sich im Joomla-Administrator an.
- Version prüfen
Unter Erweiterungen›Verwalten›Verwalten nach
AcyMailingfiltern und die Version ablesen. - Version bewerten
Liegt die Version zwischen 6.0.0 und 10.11.0, besteht Handlungsbedarf. Sicher ist 10.11.1 oder neuer.
- Risiko einschätzen
Ein Auslesen hinterlässt kaum sichtbare Spuren. Gehen Sie bei längerem ungepatchten Betrieb davon aus, dass Passwort-Hashes abgeflossen sein könnten.
So schließen Sie die Lücke
- Update-Center öffnen
Gehen Sie zu System›Aktualisieren›Erweiterungen und klicken Sie auf Auf Updates prüfen.
- AcyMailing aktualisieren
Wählen Sie den Eintrag und aktualisieren Sie auf 10.11.1 oder neuer.
- Version prüfen
Kontrollieren Sie anschließend, dass die neue Version übernommen wurde.
Offizielle Bezugsquelle: über AcyMailing. Achten Sie auf mindestens AcyMailing 10.11.1 oder neuer.
Wurde die Seite schon angegriffen?
Du brauchst Hilfe bei der Bereinigung? Passende Fachleute findest du im Joomla-Dienstleisterverzeichnis.
Quellen & weiterführende Links
- Ursprüngliche Meldung – mySites.guruAdvisory mit technischen Details
- AcyMailing / Acyba (Hersteller)Bezug des Updates über Joomla-Updater bzw. AcyMailing-Konto
- CVE-2026-56292 (CVE.org)Offizieller CVE-Eintrag
- Joomla Vulnerable Extensions List (VEL)Community-geführte Liste verwundbarer Erweiterungen
Maßgeblich sind stets die offiziellen Angaben des jeweiligen Herstellers. Diese Seite fasst öffentlich verfügbare Informationen neutral zusammen.
Unterstützer dieser Seite
htprotect.org ist ein kostenloses, herstellerunabhängiges Informationsangebot. Unterstützt wird es von:

Joomla-Hoster aus Deutschland mit aktivem Community-Support – entdeckte den ersten Angriff auf die JCE-Sicherheitslücke.
fc-hosting.deSpezialisiert auf Bereinigung, Wartung und Absicherung von Joomla- und WordPress-Websites.
website-bereinigung.deDieses Projekt unterstützen
Du betreibst einen Hosting- oder Joomla-Dienst und möchtest htprotect.org fördern – und hier als Unterstützer sichtbar werden? Jede Unterstützung hilft, Betroffene schneller zu warnen und schneller zu schützen.
Lieber privat und ohne Nennung? Über einen kleinen Beitrag in die Kaffeekasse freuen wir uns genauso.
Herstellung und Montage von Bauschildern, Bauzäunen und Fassadenlösungen – inkl. Design und 3D-Visualisierung.
bauschildundservice.deProfessioneller IT-Support aus Tschechien – Windows-Management, Domänen-Administration und Webhosting.
defendersoft.czReiseportal aus Deutschland – Pauschalreisen, Hotels und Flüge online, mit persönlicher Reisebüro-Beratung.
onlineweg.deKreativagentur aus Brandenburg – Webdesign, Printmedien, Fotografie und 360°-Panoramen aus einer Hand.
criadero.deIT-Dienstleister aus Wächtersbach – Joomla-Webseiten, PC-Service, Hard- und Software.
jahnedv.de