HTProtect.org
Unabhängige Informationsseite zu Joomla-Sicherheitslücken
HTProtect HTProtect JOOMLA SECURITY
htprotect.org Sicherheitslücken & Update-Anleitungen
Sicherheitslücke

AcyMailing – unauthentifizierte SQL-Injection (Datenbank auslesbar)

Jetzt handeln
AcyMailing umgehend auf 10.11.1 oder neuer aktualisieren – nach einem ungepatchten Zeitfenster zusätzlich alle Passwörter erneuern.

Sichere Version: AcyMailing 10.11.1 oder neuer · über AcyMailing

Auf einen Blick

Betroffene Erweiterung
AcyMailing – Newsletter-Komponente (com_acym)
Hersteller
Art der Lücke
Unauthentifizierte SQL-Injection über einen öffentlichen Frontend-Endpunkt; erlaubt anonymes Auslesen beliebiger Datenbank-Tabellen (Benutzerkonten, Passwort-Hashes, Inhalte)
Betroffene Versionen
Versionen 6.0.0 bis einschließlich 10.11.0
Sichere Version
AcyMailing 10.11.1 oder neuer   Download
Schweregrad
Kritisch
Joomla-Kompatibilität
Joomla 3 / 4 / 5
Stand / Veröffentlichung
Veröffentlicht/gepatcht: 9. Juli 2026

Worum geht es?

AcyMailing (com_acym) verwaltet Newsletter und E-Mail-Kampagnen in Joomla. Ein öffentlich – also ohne Anmeldung – erreichbarer Frontend-Endpunkt fügte übergebene Parameter ungefiltert in eine SQL-Abfrage ein. Damit ließ sich die Abfrage manipulieren (SQL-Injection).

Über diesen Weg kann ein Angreifer beliebige Datenbank-Tabellen auslesen – zum Beispiel die Benutzertabelle mit Anmeldenamen und (gehashten) Passwörtern, aber auch Beiträge und interne Konfigurationsdaten. Es ist ein reiner Lesezugriff, der jedoch sensible Daten offenlegt und weitere Angriffe (etwa das Knacken von Passwort-Hashes) vorbereitet.

Verwundbar sind die Versionen 6.0.0 bis einschließlich 10.11.0. Die Korrektur steht seit dem 9. Juli 2026 als 10.11.1 bereit. Die Lücke trägt die Kennung CVE-2026-56292.

Bin ich betroffen? – So prüfen Sie es

  1. Backend öffnen

    Melden Sie sich im Joomla-Administrator an.

  2. Version prüfen

    Unter ErweiterungenVerwaltenVerwalten nach AcyMailing filtern und die Version ablesen.

  3. Version bewerten

    Liegt die Version zwischen 6.0.0 und 10.11.0, besteht Handlungsbedarf. Sicher ist 10.11.1 oder neuer.

  4. Risiko einschätzen

    Ein Auslesen hinterlässt kaum sichtbare Spuren. Gehen Sie bei längerem ungepatchten Betrieb davon aus, dass Passwort-Hashes abgeflossen sein könnten.

So schließen Sie die Lücke

Vor jedem Update: Backup
Sichern Sie Dateien und Datenbank, bevor Sie aktualisieren – so kommen Sie im Notfall zurück (z. B. über Akeeba Backup oder Ihren Hoster).
  1. Update-Center öffnen

    Gehen Sie zu SystemAktualisierenErweiterungen und klicken Sie auf Auf Updates prüfen.

  2. AcyMailing aktualisieren

    Wählen Sie den Eintrag und aktualisieren Sie auf 10.11.1 oder neuer.

  3. Version prüfen

    Kontrollieren Sie anschließend, dass die neue Version übernommen wurde.

Manuelle Installation (Alternative)
Erscheint kein Update, laden Sie das Paket in Ihrem AcyMailing-Konto herunter und installieren Sie es über ErweiterungenVerwaltenInstallieren.

Offizielle Bezugsquelle: über AcyMailing. Achten Sie auf mindestens AcyMailing 10.11.1 oder neuer.

Wurde die Seite schon angegriffen?

Ausgelesene Daten holt kein Update zurück
Das Update stoppt weitere Zugriffe, macht ein bereits erfolgtes Auslesen aber nicht rückgängig. War die Seite länger ungepatcht, sollten Sie vorsorglich alle Passwörter erneuern (Joomla-Benutzer, besonders Administratoren), Anmelde-Sitzungen beenden und – falls möglich – die Joomla-Geheimschlüssel neu setzen. Prüfen Sie außerdem die Benutzerliste auf unbekannte Konten.

Du brauchst Hilfe bei der Bereinigung? Passende Fachleute findest du im Joomla-Dienstleisterverzeichnis.

Quellen & weiterführende Links

Maßgeblich sind stets die offiziellen Angaben des jeweiligen Herstellers. Diese Seite fasst öffentlich verfügbare Informationen neutral zusammen.

Unterstützer

Unterstützer dieser Seite

htprotect.org ist ein kostenloses, herstellerunabhängiges Informationsangebot. Unterstützt wird es von:

Hoster & Community
FC-Hosting

Joomla-Hoster aus Deutschland mit aktivem Community-Support – entdeckte den ersten Angriff auf die JCE-Sicherheitslücke.

fc-hosting.de
Initiator & Betreiber
Website-Bereinigung.de

Spezialisiert auf Bereinigung, Wartung und Absicherung von Joomla- und WordPress-Websites.

website-bereinigung.de

Dieses Projekt unterstützen

Du betreibst einen Hosting- oder Joomla-Dienst und möchtest htprotect.org fördern – und hier als Unterstützer sichtbar werden? Jede Unterstützung hilft, Betroffene schneller zu warnen und schneller zu schützen.

Lieber privat und ohne Nennung? Über einen kleinen Beitrag in die Kaffeekasse freuen wir uns genauso.

HTProtect jetzt unterstützen
Bauschild & Service

Herstellung und Montage von Bauschildern, Bauzäunen und Fassadenlösungen – inkl. Design und 3D-Visualisierung.

bauschildundservice.de
IT Specialista

Professioneller IT-Support aus Tschechien – Windows-Management, Domänen-Administration und Webhosting.

defendersoft.cz
onlineweg.de

Reiseportal aus Deutschland – Pauschalreisen, Hotels und Flüge online, mit persönlicher Reisebüro-Beratung.

onlineweg.de
Criadero

Kreativagentur aus Brandenburg – Webdesign, Printmedien, Fotografie und 360°-Panoramen aus einer Hand.

criadero.de
Jahn EDV-Dienst GmbH

IT-Dienstleister aus Wächtersbach – Joomla-Webseiten, PC-Service, Hard- und Software.

jahnedv.de