HTProtect.org Unabhängige Informationsseite zu Joomla-Sicherheitslücken
HTProtect HTProtect JOOMLA SECURITY
htprotect.org Sicherheitslücken & Update-Anleitungen
Sicherheitslücke

iCagenda – kritischer unauthentifizierter Datei-Upload

KritischCVE: Öffentlich noch nicht vergeben
Jetzt handeln
iCagenda auf Version 4.0.8 aktualisieren.
Sichere Version herunterladen Zu den Update-Schritten

Sichere Version: iCagenda 4.0.8 · kostenloser Download

Auf einen Blick

Betroffene Erweiterung
iCagenda – Veranstaltungs-/Eventkalender
Hersteller
iCagenda
Art der Lücke
Fehlende echte Login-Prüfung im Event-Einreichungsformular → unauthentifizierter Datei-Upload
Betroffene Versionen
Alle Versionen vor 4.0.8 (z. B. 4.0.7 und älter)
Sichere Version
iCagenda 4.0.8   Download
Schweregrad
Kritisch
CVE
Öffentlich noch nicht vergeben
Joomla-Kompatibilität
Joomla 4 / 5
Stand / Veröffentlichung
Veröffentlicht: 15. Juni 2026

Worum geht es?

iCagenda ist eine weit verbreitete Erweiterung für Veranstaltungskalender. Im Formular zum Einreichen von Veranstaltungen fehlte eine echte Login-Prüfung. Dadurch konnten auch nicht angemeldete Angreifer Dateien hochladen – und zwar selbst dann, wenn das Formular eigentlich nur für registrierte Nutzer gedacht war.

Betroffen sind alle Versionen vor 4.0.8 (insbesondere 4.0.7 und älter). Die Korrektur iCagenda 4.0.8 wurde am 15. Juni 2026 veröffentlicht. Eine CVE-Nummer war zum Stand der Meldung öffentlich noch nicht vergeben.

Hochgeladene Dateien landen typischerweise unter images/icagenda/frontend/. Eine .htaccess-Regel kann die PHP-Ausführung in diesem Ordner unterbinden – das ist eine sinnvolle Härtung, ersetzt aber nicht das Update.

Zeitfaktor
Sobald technische Details öffentlich werden, greifen automatisierte Scanner solche Lücken erfahrungsgemäß binnen Stunden auf. Aktualisieren Sie daher zeitnah.

Bin ich betroffen? – So prüfen Sie es

  1. Backend öffnen

    Melden Sie sich im Joomla-Administrator an.

  2. iCagenda-Version prüfen

    Öffnen Sie ErweiterungenVerwaltenVerwalten und filtern Sie nach „iCagenda“.

  3. Version bewerten

    Ist die Version kleiner als 4.0.8, besteht akuter Handlungsbedarf.

So schließen Sie die Lücke

Vor jedem Update: Backup
Sichern Sie Dateien und Datenbank, bevor Sie aktualisieren – so kommen Sie im Notfall zurück (z. B. über Akeeba Backup oder Ihren Hoster).
  1. Update-Center öffnen

    Gehen Sie zu SystemAktualisierenErweiterungen und klicken Sie auf Auf Updates prüfen.

  2. iCagenda aktualisieren

    Wählen Sie den iCagenda-Eintrag und klicken Sie auf Aktualisieren (Zielversion 4.0.8).

  3. Version prüfen

    Kontrollieren Sie, dass nun 4.0.8 installiert ist.

Manuelle Installation (Alternative)
Alternativ laden Sie das Paket von icagenda.com und installieren es über ErweiterungenVerwaltenInstallieren. Wichtig: Spielen Sie keine alten Backup-Dateien zurück – installieren Sie sauber die Version 4.0.8.
Sichere Version herunterladen

Offizielle Bezugsquelle: kostenloser Download. Achten Sie auf mindestens iCagenda 4.0.8.

Wurde die Seite schon angegriffen?

Bereits angegriffene Seiten brauchen mehr als ein Update
Prüfen Sie den Ordner images/icagenda/frontend/ auf fremde Dateien. Bei Befall ist eine strukturierte Bereinigung nötig – das bloße Löschen einzelner Dateien genügt nicht.

Quellen & weiterführende Links

Maßgeblich sind stets die offiziellen Angaben des jeweiligen Herstellers. Diese Seite fasst öffentlich verfügbare Informationen neutral zusammen.

Zur Übersicht aller Lücken
Unterstützer

Unterstützer dieser Seite

htprotect.org ist ein kostenloses, herstellerunabhängiges Informationsangebot. Unterstützt wird es von:

Hoster & Community
FC-Hosting

Joomla-Hoster aus Deutschland mit aktivem Community-Support – entdeckte den ersten Angriff auf die JCE-Sicherheitslücke.

fc-hosting.de
Initiator & Betreiber
Website-Bereinigung.de

Spezialisiert auf Bereinigung, Wartung und Absicherung von Joomla- und WordPress-Websites.

website-bereinigung.de

Dieses Projekt unterstützen

Du betreibst einen Hosting- oder Joomla-Dienst und möchtest htprotect.org fördern – und hier als Unterstützer sichtbar werden? Jede Unterstützung hilft, Betroffene schneller zu warnen und schneller zu schützen.

HTProtect jetzt unterstützen