Balbooa Forms – kritische Upload-Lücke mit Code-Ausführung
Sichere Version: Balbooa Forms 2.4.1 oder neuer · über Balbooa
Auf einen Blick
com_baforms)Worum geht es?
Balbooa Forms (com_baforms) baut Kontakt- und Anmeldeformulare für Joomla. Formulare können Datei-Anhänge annehmen – und genau dieser Upload-Weg war ungeschützt: Der Frontend-Aufruf zum Speichern eines Anhangs ließ sich ohne Anmeldung auslösen und prüfte weder ein Sicherheits-Token (CSRF) noch den Dateityp.
Dadurch kann ein Angreifer eine ausführbare PHP-Datei hochladen. Sie landet in einem öffentlich erreichbaren Unterordner des Upload-Verzeichnisses und lässt sich anschließend direkt im Browser aufrufen – der eingeschleuste Code läuft dann auf dem Server (Remote Code Execution). Damit ist die Seite vollständig übernehmbar.
Betroffen sind alle Versionen bis einschließlich 2.4.0. Die Korrektur steht seit dem 9. Juli 2026 als 2.4.1 bereit und ergänzt die fehlenden Prüfungen. Die Lücke trägt die Kennung CVE-2026-56291 und wird laut Meldung bereits in freier Wildbahn ausgenutzt; ein öffentlicher Exploit-Code wurde nicht veröffentlicht.
Bin ich betroffen? – So prüfen Sie es
- Backend öffnen
Melden Sie sich im Joomla-Administrator an.
- Version prüfen
Unter Erweiterungen›Verwalten›Verwalten nach
Balbooa Formsfiltern und die Version ablesen. - Version bewerten
Ist die Version 2.4.0 oder älter, besteht akuter Handlungsbedarf.
- Auf Spuren achten
Prüfen Sie den Ordner images/baforms/uploads/ auf fremde
.php-Dateien und die Benutzerliste auf unbekannte Administrator-Konten.
So schließen Sie die Lücke
- Update-Center öffnen
Gehen Sie zu System›Aktualisieren›Erweiterungen und klicken Sie auf Auf Updates prüfen.
- Balbooa Forms aktualisieren
Wählen Sie den Eintrag und aktualisieren Sie auf 2.4.1 oder neuer.
- Version prüfen
Kontrollieren Sie anschließend, dass die neue Version übernommen wurde.
Offizielle Bezugsquelle: über Balbooa. Achten Sie auf mindestens Balbooa Forms 2.4.1 oder neuer.
Wurde die Seite schon angegriffen?
.php-Dateien, kontrollieren Sie die Benutzerliste auf neue Super-User und ändern Sie im Fund alle Passwörter (Joomla-Admin, FTP/SSH, Datenbank). Im Zweifel die Seite fachgerecht bereinigen lassen.Du brauchst Hilfe bei der Bereinigung? Passende Fachleute findest du im Joomla-Dienstleisterverzeichnis.
Quellen & weiterführende Links
- Ursprüngliche Meldung – mySites.guruAdvisory mit technischen Details
- Balbooa (Hersteller)Bezug des Updates über Joomla-Updater bzw. Balbooa-Konto
- CVE-2026-56291 (CVE.org)Offizieller CVE-Eintrag
- Joomla Vulnerable Extensions List (VEL)Community-geführte Liste verwundbarer Erweiterungen
Maßgeblich sind stets die offiziellen Angaben des jeweiligen Herstellers. Diese Seite fasst öffentlich verfügbare Informationen neutral zusammen.
Unterstützer dieser Seite
htprotect.org ist ein kostenloses, herstellerunabhängiges Informationsangebot. Unterstützt wird es von:

Joomla-Hoster aus Deutschland mit aktivem Community-Support – entdeckte den ersten Angriff auf die JCE-Sicherheitslücke.
fc-hosting.deSpezialisiert auf Bereinigung, Wartung und Absicherung von Joomla- und WordPress-Websites.
website-bereinigung.deDieses Projekt unterstützen
Du betreibst einen Hosting- oder Joomla-Dienst und möchtest htprotect.org fördern – und hier als Unterstützer sichtbar werden? Jede Unterstützung hilft, Betroffene schneller zu warnen und schneller zu schützen.
Lieber privat und ohne Nennung? Über einen kleinen Beitrag in die Kaffeekasse freuen wir uns genauso.
Herstellung und Montage von Bauschildern, Bauzäunen und Fassadenlösungen – inkl. Design und 3D-Visualisierung.
bauschildundservice.deProfessioneller IT-Support aus Tschechien – Windows-Management, Domänen-Administration und Webhosting.
defendersoft.czReiseportal aus Deutschland – Pauschalreisen, Hotels und Flüge online, mit persönlicher Reisebüro-Beratung.
onlineweg.deKreativagentur aus Brandenburg – Webdesign, Printmedien, Fotografie und 360°-Panoramen aus einer Hand.
criadero.deIT-Dienstleister aus Wächtersbach – Joomla-Webseiten, PC-Service, Hard- und Software.
jahnedv.de