Helix Ultimate – kritische Lücken im AJAX-Handler (ohne Login)
Sichere Version: Helix Ultimate 2.2.7 · über JoomShaper (Konto erforderlich)
Auf einen Blick
Worum geht es?
Helix Ultimate ist das aktuelle Template-Framework von JoomShaper (Template samt System-Plugin). Es registriert einen AJAX-Handler, den Joomla über den Standard-Aufruf com_ajax auch für völlig unangemeldete Besucher ausführt. Vor Version 2.2.7 erledigten mehrere dieser Aktionen ihre Arbeit, ohne vorher Anmeldung oder Berechtigung zu prüfen.
Am schwersten wiegt ein unauthentifizierter Schreibzugriff auf die Menü-Einstellungen: Weil der Menü-Inhalt vor der Ausgabe nicht bereinigt wurde, lässt sich darüber dauerhaft Schadskript ablegen, das anschließend in den Browsern der Besucher – und sogar in der Administrator-Sitzung – ausgeführt wird (Stored XSS). Hinzu kommen eine Path-Traversal-Lücke, über die Datei-Löschungen das gesamte Joomla-Verzeichnis erreichen konnten, ein Open Redirect und ein ungeschützter Template-Export.
Die Korrektur ist seit dem 7. Juli 2026 als Helix Ultimate 2.2.7 verfügbar; sie setzt die fehlenden Login- und Rechteprüfungen in allen AJAX-Aktionen wieder ein, begrenzt die Dateipfade, validiert Weiterleitungen und bereinigt die Menü-Ausgabe. Da es kein 2.2.5 oder 2.2.6 gab, ist jede ältere Version betroffen – viele Installationen liegen noch auf der 2.1- oder sogar 1.1-Reihe. Eine CVE-Nummer ist bislang nicht vergeben.
Bin ich betroffen? – So prüfen Sie es
- Backend öffnen
Melden Sie sich im Joomla-Administrator an (Adresse endet auf
/administrator). - Erweiterungen aufrufen
Öffnen Sie Erweiterungen›Verwalten›Verwalten und filtern Sie nach
Helix Ultimate. - Version ablesen
Lesen Sie die installierte Version ab. Liegt sie unter 2.2.7, ist die Installation verwundbar und sollte sofort aktualisiert werden.
- Auf Spuren achten
Kontrollieren Sie Menüs und Mega-Menü-Einstellungen auf fremde Links oder Skripte sowie die Benutzerliste auf unbekannte Super-User.
So schließen Sie die Lücke
- Update-Center öffnen
Gehen Sie zu System›Aktualisieren›Erweiterungen und klicken Sie auf Auf Updates prüfen.
- Alle Helix-Ultimate-Teile aktualisieren
Aktualisieren Sie jeden angebotenen Helix-Ultimate-Eintrag auf 2.2.7 (System-Plugin und Template, ggf. Template-Installer) – nicht nur einen davon.
- Erfolg prüfen
Kontrollieren Sie anschließend, dass überall 2.2.7 angezeigt wird.
Offizielle Bezugsquelle: über JoomShaper (Konto erforderlich). Achten Sie auf mindestens Helix Ultimate 2.2.7.
Wurde die Seite schon angegriffen?
.htaccess, index.html) noch vorhanden sind und ob Template-Style-Einstellungen verändert wurden. Sichern Sie im Fund zuerst Beweise, bereinigen Sie dann die gesamte Seite und ändern Sie alle Passwörter und Geheimnisse.Du brauchst Hilfe bei der Bereinigung? Passende Fachleute findest du im Joomla-Dienstleisterverzeichnis.
Quellen & weiterführende Links
- Detail-Analyse – Website-Bereinigung.deHintergründe und Bereinigung
- Ursprüngliche Meldung – mySites.guruAdvisory, die die Lücke bestätigt hat
- Joomla Vulnerable Extensions List (VEL)Community-geführte Liste verwundbarer Erweiterungen
Maßgeblich sind stets die offiziellen Angaben des jeweiligen Herstellers. Diese Seite fasst öffentlich verfügbare Informationen neutral zusammen.
Unterstützer dieser Seite
htprotect.org ist ein kostenloses, herstellerunabhängiges Informationsangebot. Unterstützt wird es von:

Joomla-Hoster aus Deutschland mit aktivem Community-Support – entdeckte den ersten Angriff auf die JCE-Sicherheitslücke.
fc-hosting.deSpezialisiert auf Bereinigung, Wartung und Absicherung von Joomla- und WordPress-Websites.
website-bereinigung.deDieses Projekt unterstützen
Du betreibst einen Hosting- oder Joomla-Dienst und möchtest htprotect.org fördern – und hier als Unterstützer sichtbar werden? Jede Unterstützung hilft, Betroffene schneller zu warnen und schneller zu schützen.
Lieber privat und ohne Nennung? Über einen kleinen Beitrag in die Kaffeekasse freuen wir uns genauso.
Herstellung und Montage von Bauschildern, Bauzäunen und Fassadenlösungen – inkl. Design und 3D-Visualisierung.
bauschildundservice.deProfessioneller IT-Support aus Tschechien – Windows-Management, Domänen-Administration und Webhosting.
defendersoft.cz