HTProtect.org
Unabhängige Informationsseite zu Joomla-Sicherheitslücken
HTProtect HTProtect JOOMLA SECURITY
htprotect.org Sicherheitslücken & Update-Anleitungen
Sicherheitslücke

Helix Ultimate – kritische Lücken im AJAX-Handler (ohne Login)

KritischCVE: Keine CVE vergeben (Melder: mySites.guru)
Jetzt handeln
Helix Ultimate umgehend auf 2.2.7 aktualisieren – dabei alle Helix-Ultimate-Bestandteile (System-Plugin und Template) einspielen.

Sichere Version: Helix Ultimate 2.2.7 · über JoomShaper (Konto erforderlich)

Auf einen Blick

Betroffene Erweiterung
Helix Ultimate – Template & System-Plugin (JoomShaper)
Hersteller
Art der Lücke
Mehrere unauthentifizierte AJAX-Aktionen ohne Login-/Rechteprüfung: Schreibzugriff auf Menüs (Stored XSS), Path-Traversal-Dateilöschung, Open Redirect und ungeschützter Template-Export
Betroffene Versionen
Alle Versionen vor 2.2.7
Sichere Version
Helix Ultimate 2.2.7   Download
Schweregrad
Kritisch
CVE
Keine CVE vergeben (Melder: mySites.guru)
Joomla-Kompatibilität
Joomla 4 / 5 / 6
Stand / Veröffentlichung
Veröffentlicht/gepatcht: 7. Juli 2026

Worum geht es?

Helix Ultimate ist das aktuelle Template-Framework von JoomShaper (Template samt System-Plugin). Es registriert einen AJAX-Handler, den Joomla über den Standard-Aufruf com_ajax auch für völlig unangemeldete Besucher ausführt. Vor Version 2.2.7 erledigten mehrere dieser Aktionen ihre Arbeit, ohne vorher Anmeldung oder Berechtigung zu prüfen.

Am schwersten wiegt ein unauthentifizierter Schreibzugriff auf die Menü-Einstellungen: Weil der Menü-Inhalt vor der Ausgabe nicht bereinigt wurde, lässt sich darüber dauerhaft Schadskript ablegen, das anschließend in den Browsern der Besucher – und sogar in der Administrator-Sitzung – ausgeführt wird (Stored XSS). Hinzu kommen eine Path-Traversal-Lücke, über die Datei-Löschungen das gesamte Joomla-Verzeichnis erreichen konnten, ein Open Redirect und ein ungeschützter Template-Export.

Die Korrektur ist seit dem 7. Juli 2026 als Helix Ultimate 2.2.7 verfügbar; sie setzt die fehlenden Login- und Rechteprüfungen in allen AJAX-Aktionen wieder ein, begrenzt die Dateipfade, validiert Weiterleitungen und bereinigt die Menü-Ausgabe. Da es kein 2.2.5 oder 2.2.6 gab, ist jede ältere Version betroffen – viele Installationen liegen noch auf der 2.1- oder sogar 1.1-Reihe. Eine CVE-Nummer ist bislang nicht vergeben.

Helix Ultimate ist nicht Helix3
Helix Ultimate ist das neuere Template-Framework mit eigener Codebasis und Versionszählung. Helix3 ist ein separates, älteres Produkt mit eigener Lücke und eigenem Fix – bitte nicht verwechseln.
Hinweis zur Transparenz
Im Joomla-Updater erscheint oft nur eine nichtssagende Zeile „Security Update“ – ohne Angabe des Schweregrads. Verlassen Sie sich nicht auf den Changelog: Aktualisieren Sie sicherheitsrelevante Erweiterungen grundsätzlich sofort.

Bin ich betroffen? – So prüfen Sie es

  1. Backend öffnen

    Melden Sie sich im Joomla-Administrator an (Adresse endet auf /administrator).

  2. Erweiterungen aufrufen

    Öffnen Sie ErweiterungenVerwaltenVerwalten und filtern Sie nach Helix Ultimate.

  3. Version ablesen

    Lesen Sie die installierte Version ab. Liegt sie unter 2.2.7, ist die Installation verwundbar und sollte sofort aktualisiert werden.

  4. Auf Spuren achten

    Kontrollieren Sie Menüs und Mega-Menü-Einstellungen auf fremde Links oder Skripte sowie die Benutzerliste auf unbekannte Super-User.

So schließen Sie die Lücke

Vor jedem Update: Backup
Sichern Sie Dateien und Datenbank, bevor Sie aktualisieren – so kommen Sie im Notfall zurück (z. B. über Akeeba Backup oder Ihren Hoster).
  1. Update-Center öffnen

    Gehen Sie zu SystemAktualisierenErweiterungen und klicken Sie auf Auf Updates prüfen.

  2. Alle Helix-Ultimate-Teile aktualisieren

    Aktualisieren Sie jeden angebotenen Helix-Ultimate-Eintrag auf 2.2.7 (System-Plugin und Template, ggf. Template-Installer) – nicht nur einen davon.

  3. Erfolg prüfen

    Kontrollieren Sie anschließend, dass überall 2.2.7 angezeigt wird.

Manuelle Installation (Alternative)
Erscheint kein Update, laden Sie das Paket über Ihr JoomShaper-Konto herunter und installieren Sie es über ErweiterungenVerwaltenInstallieren. Ein bloßes Deaktivieren des Plugins genügt nicht – die Dateien bleiben auf dem Server, und der AJAX-Endpunkt ist weiter erreichbar.

Offizielle Bezugsquelle: über JoomShaper (Konto erforderlich). Achten Sie auf mindestens Helix Ultimate 2.2.7.

Wurde die Seite schon angegriffen?

Ein Update beseitigt keinen bereits erfolgten Angriff
Das Update stoppt weitere Versuche, macht aber nichts rückgängig. Prüfen Sie nach dem Update: Menüs und Mega-Menü auf untergeschobene Links oder Markup, die Benutzerliste auf unbekannte Super-User, ob Schutzdateien (.htaccess, index.html) noch vorhanden sind und ob Template-Style-Einstellungen verändert wurden. Sichern Sie im Fund zuerst Beweise, bereinigen Sie dann die gesamte Seite und ändern Sie alle Passwörter und Geheimnisse.

Du brauchst Hilfe bei der Bereinigung? Passende Fachleute findest du im Joomla-Dienstleisterverzeichnis.

Quellen & weiterführende Links

Maßgeblich sind stets die offiziellen Angaben des jeweiligen Herstellers. Diese Seite fasst öffentlich verfügbare Informationen neutral zusammen.

Unterstützer

Unterstützer dieser Seite

htprotect.org ist ein kostenloses, herstellerunabhängiges Informationsangebot. Unterstützt wird es von:

Hoster & Community
FC-Hosting

Joomla-Hoster aus Deutschland mit aktivem Community-Support – entdeckte den ersten Angriff auf die JCE-Sicherheitslücke.

fc-hosting.de
Initiator & Betreiber
Website-Bereinigung.de

Spezialisiert auf Bereinigung, Wartung und Absicherung von Joomla- und WordPress-Websites.

website-bereinigung.de

Dieses Projekt unterstützen

Du betreibst einen Hosting- oder Joomla-Dienst und möchtest htprotect.org fördern – und hier als Unterstützer sichtbar werden? Jede Unterstützung hilft, Betroffene schneller zu warnen und schneller zu schützen.

Lieber privat und ohne Nennung? Über einen kleinen Beitrag in die Kaffeekasse freuen wir uns genauso.

HTProtect jetzt unterstützen
Bauschild & Service

Herstellung und Montage von Bauschildern, Bauzäunen und Fassadenlösungen – inkl. Design und 3D-Visualisierung.

bauschildundservice.de
IT Specialista

Professioneller IT-Support aus Tschechien – Windows-Management, Domänen-Administration und Webhosting.

defendersoft.cz