HTProtect.org
Unabhängige Informationsseite zu Joomla-Sicherheitslücken
HTProtect HTProtect JOOMLA SECURITY
htprotect.org Sicherheitslücken & Update-Anleitungen
Sicherheitslücke

Balbooa Forms – kritische Upload-Lücke mit Code-Ausführung

Kritisch Wird aktiv ausgenutztCVE-2026-56291
Jetzt handeln
Balbooa Forms umgehend auf 2.4.1 oder neuer aktualisieren – bei Verdacht auf einen Befall zusätzlich bereinigen.

Sichere Version: Balbooa Forms 2.4.1 oder neuer · über Balbooa

Auf einen Blick

Betroffene Erweiterung
Balbooa Forms – Formular-Erweiterung (com_baforms)
Hersteller
Art der Lücke
Unauthentifizierter Datei-Upload über das Formular-Frontend → Remote Code Execution (RCE); weder Anmeldung noch Token- oder Dateityp-Prüfung
Betroffene Versionen
Alle Versionen bis einschließlich 2.4.0
Sichere Version
Balbooa Forms 2.4.1 oder neuer   Download
Schweregrad
Kritisch · wird aktiv ausgenutzt
Joomla-Kompatibilität
Joomla 4 / 5 / 6
Stand / Veröffentlichung
Veröffentlicht/gepatcht: 9. Juli 2026

Worum geht es?

Balbooa Forms (com_baforms) baut Kontakt- und Anmeldeformulare für Joomla. Formulare können Datei-Anhänge annehmen – und genau dieser Upload-Weg war ungeschützt: Der Frontend-Aufruf zum Speichern eines Anhangs ließ sich ohne Anmeldung auslösen und prüfte weder ein Sicherheits-Token (CSRF) noch den Dateityp.

Dadurch kann ein Angreifer eine ausführbare PHP-Datei hochladen. Sie landet in einem öffentlich erreichbaren Unterordner des Upload-Verzeichnisses und lässt sich anschließend direkt im Browser aufrufen – der eingeschleuste Code läuft dann auf dem Server (Remote Code Execution). Damit ist die Seite vollständig übernehmbar.

Betroffen sind alle Versionen bis einschließlich 2.4.0. Die Korrektur steht seit dem 9. Juli 2026 als 2.4.1 bereit und ergänzt die fehlenden Prüfungen. Die Lücke trägt die Kennung CVE-2026-56291 und wird laut Meldung bereits in freier Wildbahn ausgenutzt; ein öffentlicher Exploit-Code wurde nicht veröffentlicht.

Bin ich betroffen? – So prüfen Sie es

  1. Backend öffnen

    Melden Sie sich im Joomla-Administrator an.

  2. Version prüfen

    Unter ErweiterungenVerwaltenVerwalten nach Balbooa Forms filtern und die Version ablesen.

  3. Version bewerten

    Ist die Version 2.4.0 oder älter, besteht akuter Handlungsbedarf.

  4. Auf Spuren achten

    Prüfen Sie den Ordner images/baforms/uploads/ auf fremde .php-Dateien und die Benutzerliste auf unbekannte Administrator-Konten.

So schließen Sie die Lücke

Vor jedem Update: Backup
Sichern Sie Dateien und Datenbank, bevor Sie aktualisieren – so kommen Sie im Notfall zurück (z. B. über Akeeba Backup oder Ihren Hoster).
  1. Update-Center öffnen

    Gehen Sie zu SystemAktualisierenErweiterungen und klicken Sie auf Auf Updates prüfen.

  2. Balbooa Forms aktualisieren

    Wählen Sie den Eintrag und aktualisieren Sie auf 2.4.1 oder neuer.

  3. Version prüfen

    Kontrollieren Sie anschließend, dass die neue Version übernommen wurde.

Manuelle Installation (Alternative)
Erscheint kein Update, laden Sie das Paket in Ihrem Balbooa-Konto herunter und installieren Sie es über ErweiterungenVerwaltenInstallieren.

Offizielle Bezugsquelle: über Balbooa. Achten Sie auf mindestens Balbooa Forms 2.4.1 oder neuer.

Wurde die Seite schon angegriffen?

Bei Befall reicht ein Update nicht
Das Update schließt die Lücke, entfernt aber keinen bereits hochgeladenen Schadcode. Prüfen Sie images/baforms/uploads/ und die umliegenden Ordner auf fremde .php-Dateien, kontrollieren Sie die Benutzerliste auf neue Super-User und ändern Sie im Fund alle Passwörter (Joomla-Admin, FTP/SSH, Datenbank). Im Zweifel die Seite fachgerecht bereinigen lassen.

Du brauchst Hilfe bei der Bereinigung? Passende Fachleute findest du im Joomla-Dienstleisterverzeichnis.

Quellen & weiterführende Links

Maßgeblich sind stets die offiziellen Angaben des jeweiligen Herstellers. Diese Seite fasst öffentlich verfügbare Informationen neutral zusammen.

Unterstützer

Unterstützer dieser Seite

htprotect.org ist ein kostenloses, herstellerunabhängiges Informationsangebot. Unterstützt wird es von:

Hoster & Community
FC-Hosting

Joomla-Hoster aus Deutschland mit aktivem Community-Support – entdeckte den ersten Angriff auf die JCE-Sicherheitslücke.

fc-hosting.de
Initiator & Betreiber
Website-Bereinigung.de

Spezialisiert auf Bereinigung, Wartung und Absicherung von Joomla- und WordPress-Websites.

website-bereinigung.de

Dieses Projekt unterstützen

Du betreibst einen Hosting- oder Joomla-Dienst und möchtest htprotect.org fördern – und hier als Unterstützer sichtbar werden? Jede Unterstützung hilft, Betroffene schneller zu warnen und schneller zu schützen.

Lieber privat und ohne Nennung? Über einen kleinen Beitrag in die Kaffeekasse freuen wir uns genauso.

HTProtect jetzt unterstützen
Bauschild & Service

Herstellung und Montage von Bauschildern, Bauzäunen und Fassadenlösungen – inkl. Design und 3D-Visualisierung.

bauschildundservice.de
IT Specialista

Professioneller IT-Support aus Tschechien – Windows-Management, Domänen-Administration und Webhosting.

defendersoft.cz
onlineweg.de

Reiseportal aus Deutschland – Pauschalreisen, Hotels und Flüge online, mit persönlicher Reisebüro-Beratung.

onlineweg.de
Criadero

Kreativagentur aus Brandenburg – Webdesign, Printmedien, Fotografie und 360°-Panoramen aus einer Hand.

criadero.de
Jahn EDV-Dienst GmbH

IT-Dienstleister aus Wächtersbach – Joomla-Webseiten, PC-Service, Hard- und Software.

jahnedv.de