HTProtect.org Unabhängige Informationsseite zu Joomla-Sicherheitslücken
HTProtect HTProtect JOOMLA SECURITY
htprotect.org Sicherheitslücken & Update-Anleitungen
Sicherheitslücke

Astroid Framework – kritische RCE-Lücke (Datei-Upload)

Kritisch Wird aktiv ausgenutztCVE-2026-21628
Jetzt handeln
Astroid auf 3.3.13 oder neuer aktualisieren – und bei Verdacht auf Befall zusätzlich bereinigen.
Sichere Version herunterladen Zu den Update-Schritten

Sichere Version: Astroid 3.3.13 oder neuer · direkter Download (GitHub, Open Source)

Auf einen Blick

Betroffene Erweiterung
Astroid Framework (Template-Framework)
Hersteller
TemPlaza
Art der Lücke
Unauthentifizierter Datei-Upload → Remote Code Execution (RCE); missbraucht ein CSRF-Token der öffentlichen Login-Seite
Betroffene Versionen
Astroid 2.0.0 bis 3.3.10
Sichere Version
Astroid 3.3.13 oder neuer   Download
Schweregrad
Kritisch · wird aktiv ausgenutzt
CVE
CVE-2026-21628
Joomla-Kompatibilität
Joomla 4 / 5 / 6
Stand / Veröffentlichung
Stand: 11. März 2026

Worum geht es?

Das Astroid Framework ist die Grundlage zahlreicher Joomla-Templates. Die Schwachstelle erlaubt es Angreifern, ohne Anmeldung Dateien auf den Server hochzuladen. Dazu wird ein CSRF-Token missbraucht, das auf der öffentlich erreichbaren Login-Seite ausgelesen werden kann. Im ungünstigsten Fall lässt sich darüber Schadcode ausführen (Remote Code Execution).

Verwundbar sind die Versionen 2.0.0 bis 3.3.10. Die Lücke trägt die Kennung CVE-2026-21628. Korrigiert wurde sie ab Version 3.3.11; empfohlen wird die Aktualisierung auf 3.3.13 oder neuer.

Wichtig: Ein reines Versions-Update genügt nicht, wenn der Angriff bereits stattgefunden hat. In der Praxis wurden über sogenannte Dropper-Dateien (z. B. blp_9948.php) Backdoor-Plugins wie BLPayload oder JCachePro nachgeladen – diese bleiben nach einem Update bestehen.

Bin ich betroffen? – So prüfen Sie es

  1. Backend öffnen

    Melden Sie sich im Joomla-Administrator an.

  2. Astroid-Version prüfen

    Die installierte Version finden Sie im Template-Bereich (SystemTemplates) bzw. unter ErweiterungenVerwaltenVerwalten beim Filter „Astroid“.

  3. Version bewerten

    Liegt die Version zwischen 2.0.0 und 3.3.10, besteht akuter Handlungsbedarf.

  4. Auf Backdoors achten

    Prüfen Sie /plugins/system/ auf verdächtige Einträge wie BLPayload oder JCachePro sowie auf Dateien nach dem Muster blp_*.php.

So schließen Sie die Lücke

Vor jedem Update: Backup
Sichern Sie Dateien und Datenbank, bevor Sie aktualisieren – so kommen Sie im Notfall zurück (z. B. über Akeeba Backup oder Ihren Hoster).
  1. Update-Center öffnen

    Gehen Sie zu SystemAktualisierenErweiterungen und klicken Sie auf Auf Updates prüfen.

  2. Astroid aktualisieren

    Wählen Sie den Astroid-Eintrag und aktualisieren Sie auf 3.3.13 oder neuer.

  3. Version prüfen

    Kontrollieren Sie anschließend, dass die neue Version übernommen wurde.

Manuelle Installation (Alternative)
Alternativ laden Sie das Paket im Astroid-/Templaza-Konto herunter und installieren es über ErweiterungenVerwaltenInstallieren.
Sichere Version herunterladen

Offizielle Bezugsquelle: direkter Download (GitHub, Open Source). Achten Sie auf mindestens Astroid 3.3.13 oder neuer.

Wurde die Seite schon angegriffen?

Bei Befall reicht ein Update nicht
Updates entfernen bereits installierten Schadcode nicht automatisch. Achten Sie auf Plugins wie BLPayload/JCachePro und Dropper-Dateien (blp_*.php). Erforderlich sind dann: vollständige Bereinigung, Ändern aller Passwörter (Joomla-Admin, FTP/SSH, Datenbank) und eine Prüfung in der Google Search Console.

Quellen & weiterführende Links

Maßgeblich sind stets die offiziellen Angaben des jeweiligen Herstellers. Diese Seite fasst öffentlich verfügbare Informationen neutral zusammen.

Zur Übersicht aller Lücken
Unterstützer

Unterstützer dieser Seite

htprotect.org ist ein kostenloses, herstellerunabhängiges Informationsangebot. Unterstützt wird es von:

Hoster & Community
FC-Hosting

Joomla-Hoster aus Deutschland mit aktivem Community-Support – entdeckte den ersten Angriff auf die JCE-Sicherheitslücke.

fc-hosting.de
Initiator & Betreiber
Website-Bereinigung.de

Spezialisiert auf Bereinigung, Wartung und Absicherung von Joomla- und WordPress-Websites.

website-bereinigung.de

Dieses Projekt unterstützen

Du betreibst einen Hosting- oder Joomla-Dienst und möchtest htprotect.org fördern – und hier als Unterstützer sichtbar werden? Jede Unterstützung hilft, Betroffene schneller zu warnen und schneller zu schützen.

HTProtect jetzt unterstützen