HTProtect.org Unabhängige Informationsseite zu Joomla-Sicherheitslücken
HTProtect HTProtect JOOMLA SECURITY
htprotect.org Sicherheitslücken & Update-Anleitungen
Sicherheitslücke

Helix3 Template-Framework – kritische Sicherheitslücken

KritischCVE: Beantragt (Melder: Phil Taylor, mySites.guru)
Jetzt handeln
Helix3 umgehend auf Version 3.1.1 aktualisieren.
Sichere Version herunterladen Zu den Update-Schritten

Sichere Version: Helix3 3.1.1 · über JoomShaper (Konto erforderlich)

Auf einen Blick

Betroffene Erweiterung
Helix3 – System- & AJAX-Plugin (plg_ajax_helix3)
Hersteller
JoomShaper
Art der Lücke
Mehrere kritische Lücken: unauthentifizierter Schreib-/Löschzugriff auf Dateien, Überschreiben von Template-Einstellungen, Rechteausweitung bis zur Code-Ausführung (PHP-Upload) sowie XSS
Betroffene Versionen
Alle Versionen vor 3.1.1
Sichere Version
Helix3 3.1.1   Download
Schweregrad
Kritisch
CVE
Beantragt (Melder: Phil Taylor, mySites.guru)
Joomla-Kompatibilität
Joomla 4 / 5 / 6
Stand / Veröffentlichung
Veröffentlicht/gepatcht: 29. Juni 2026 (gemeldet: 28. Juni 2026)

Worum geht es?

Helix3 ist das klassische Template-Framework von JoomShaper und wird über ein System-Plugin samt zugehörigem AJAX-Plugin (plg_ajax_helix3) betrieben. In diesem AJAX-Plugin wurden mehrere Schwachstellen entdeckt, die sich über den Standard-Aufruf com_ajax ohne Anmeldung erreichen lassen.

Konkret beschrieben werden u. a.: ein unauthentifizierter Schreibzugriff auf Dateien (Pfad-Manipulation über die save-Aktion), das Löschen beliebiger Dateien (remove/remove_image), das Überschreiben von Template-Einstellungen (import) sowie – nach Anmeldung – eine Rechteausweitung bis zur Code-Ausführung, weil der Bild-Upload auch .php-Dateien akzeptierte. Hinzu kommen Stored-/Reflected-XSS und ein im Quelltext hinterlegter Google-Fonts-API-Schlüssel.

Die Korrektur ist seit dem 29. Juni 2026 als Helix3 3.1.1 verfügbar. Eine CVE-Nummer war zum Zeitpunkt der Veröffentlichung beantragt, aber noch nicht vergeben; als Melder wird Phil Taylor von mySites.guru genannt.

Helix3 ist nicht Helix Ultimate
Helix3 ist das ältere Framework (System- + AJAX-Plugin). Helix Ultimate ist ein separates, neueres Template mit eigener Codebasis und eigener Versionszählung – es ist von dieser Meldung nicht betroffen.
Hinweis zur Transparenz
Der öffentliche Changelog-Eintrag lautete zunächst nur „Security Update“ – ohne Angabe des Schweregrads. Verlassen Sie sich nicht allein auf Changelogs: Aktualisieren Sie sicherheitsrelevante Erweiterungen grundsätzlich zeitnah.

Bin ich betroffen? – So prüfen Sie es

  1. Backend öffnen

    Melden Sie sich im Joomla-Administrator an (Adresse endet auf /administrator).

  2. Plugins aufrufen

    Öffnen Sie SystemPlugins (alternativ ErweiterungenVerwaltenVerwalten).

  3. Nach „Helix3“ filtern

    Suchen Sie nach Helix3 bzw. „System – Helix3 Framework“ und lesen Sie die angezeigte Versionsnummer ab.

  4. Version bewerten

    Liegt die Version unter 3.1.1, ist die Installation verwundbar und sollte sofort aktualisiert werden.

So schließen Sie die Lücke

Vor jedem Update: Backup
Sichern Sie Dateien und Datenbank, bevor Sie aktualisieren – so kommen Sie im Notfall zurück (z. B. über Akeeba Backup oder Ihren Hoster).
  1. Update-Center öffnen

    Gehen Sie zu SystemAktualisierenErweiterungen und klicken Sie auf Auf Updates prüfen.

  2. Helix3 aktualisieren

    Wählen Sie den Helix3-Eintrag und klicken Sie auf Aktualisieren. Version 3.1.1 wird über den JoomShaper-Update-Server ausgeliefert.

  3. Erfolg prüfen

    Kontrollieren Sie unter SystemPlugins, dass nun 3.1.1 angezeigt wird.

Manuelle Installation (Alternative)
Erscheint kein Update, laden Sie das Paket in Ihrem JoomShaper-Konto herunter und installieren Sie es über ErweiterungenVerwaltenInstallieren.
Sichere Version herunterladen

Offizielle Bezugsquelle: über JoomShaper (Konto erforderlich). Achten Sie auf mindestens Helix3 3.1.1.

Wurde die Seite schon angegriffen?

Ein Update entfernt keinen vorhandenen Schadcode
War die Seite während des Zeitfensters ungepatcht, prüfen Sie nach dem Update: unerwartete Dateien im Template-Ordner, fehlende Schutzdateien (z. B. .htaccess) und unerklärliche Änderungen an den Template-Style-Parametern. Im Zweifel die Seite fachgerecht bereinigen lassen und Passwörter ändern.

Quellen & weiterführende Links

Maßgeblich sind stets die offiziellen Angaben des jeweiligen Herstellers. Diese Seite fasst öffentlich verfügbare Informationen neutral zusammen.

Zur Übersicht aller Lücken
Unterstützer

Unterstützer dieser Seite

htprotect.org ist ein kostenloses, herstellerunabhängiges Informationsangebot. Unterstützt wird es von:

Hoster & Community
FC-Hosting

Joomla-Hoster aus Deutschland mit aktivem Community-Support – entdeckte den ersten Angriff auf die JCE-Sicherheitslücke.

fc-hosting.de
Initiator & Betreiber
Website-Bereinigung.de

Spezialisiert auf Bereinigung, Wartung und Absicherung von Joomla- und WordPress-Websites.

website-bereinigung.de

Dieses Projekt unterstützen

Du betreibst einen Hosting- oder Joomla-Dienst und möchtest htprotect.org fördern – und hier als Unterstützer sichtbar werden? Jede Unterstützung hilft, Betroffene schneller zu warnen und schneller zu schützen.

HTProtect jetzt unterstützen