RSFiles! – kritische Upload-Lücke mit Code-Ausführung
Sichere Version: RSFiles! 1.17.12 oder neuer · über RSJoomla! (Konto erforderlich)
Auf einen Blick
com_rsfiles)Worum geht es?
RSFiles! (com_rsfiles) verwaltet Datei-Downloads in Joomla. Der Upload-Weg im Frontend war ungeschützt: Die zuständige Aufgabe ließ sich ohne Anmeldung aufrufen, ohne Sicherheits-Token (CSRF), und die Datei wurde ohne Prüfung des Dateityps gespeichert.
Dadurch kann ein Angreifer eine PHP-Datei in den öffentlich erreichbaren Download-Ordner laden und anschließend direkt aufrufen – der eingeschleuste Code läuft dann auf dem Server (Remote Code Execution). Damit lässt sich die Seite vollständig übernehmen.
Betroffen sind alle Versionen bis einschließlich 1.17.11. Die Korrektur steht seit dem 10. Juli 2026 als 1.17.12 bereit. Eine CVE-Nummer war zum Zeitpunkt der Veröffentlichung beantragt, aber noch nicht vergeben.
Bin ich betroffen? – So prüfen Sie es
- Backend öffnen
Melden Sie sich im Joomla-Administrator an.
- Version prüfen
Unter Erweiterungen›Verwalten›Verwalten nach
RSFilesfiltern und die Version ablesen. - Version bewerten
Ist die Version 1.17.11 oder älter, besteht akuter Handlungsbedarf.
- Auf Spuren achten
Prüfen Sie den Download-Ordner von RSFiles! auf fremde
.php-Dateien (per SSH z. B.find … -name "*.php") und die Benutzerliste auf unbekannte Administrator-Konten.
So schließen Sie die Lücke
- Update-Center öffnen
Gehen Sie zu System›Aktualisieren›Erweiterungen und klicken Sie auf Auf Updates prüfen.
- RSFiles! aktualisieren
Wählen Sie den Eintrag und aktualisieren Sie auf 1.17.12 oder neuer.
- Version prüfen
Kontrollieren Sie anschließend, dass die neue Version übernommen wurde.
Offizielle Bezugsquelle: über RSJoomla! (Konto erforderlich). Achten Sie auf mindestens RSFiles! 1.17.12 oder neuer.
Wurde die Seite schon angegriffen?
.php-Dateien, kontrollieren Sie die Benutzerliste auf neue Super-User und ändern Sie im Fund alle Passwörter (Joomla-Admin, FTP/SSH, Datenbank). Im Zweifel die Seite fachgerecht bereinigen lassen.Du brauchst Hilfe bei der Bereinigung? Passende Fachleute findest du im Joomla-Dienstleisterverzeichnis.
Quellen & weiterführende Links
- Ursprüngliche Meldung – mySites.guruAdvisory mit technischen Details
- RSJoomla! (Hersteller)Bezug des Updates über Joomla-Updater bzw. RSJoomla!-Konto
- Joomla Vulnerable Extensions List (VEL)Community-geführte Liste verwundbarer Erweiterungen
Maßgeblich sind stets die offiziellen Angaben des jeweiligen Herstellers. Diese Seite fasst öffentlich verfügbare Informationen neutral zusammen.
Unterstützer dieser Seite
htprotect.org ist ein kostenloses, herstellerunabhängiges Informationsangebot. Unterstützt wird es von:

Joomla-Hoster aus Deutschland mit aktivem Community-Support – entdeckte den ersten Angriff auf die JCE-Sicherheitslücke.
fc-hosting.deSpezialisiert auf Bereinigung, Wartung und Absicherung von Joomla- und WordPress-Websites.
website-bereinigung.deDieses Projekt unterstützen
Du betreibst einen Hosting- oder Joomla-Dienst und möchtest htprotect.org fördern – und hier als Unterstützer sichtbar werden? Jede Unterstützung hilft, Betroffene schneller zu warnen und schneller zu schützen.
Lieber privat und ohne Nennung? Über einen kleinen Beitrag in die Kaffeekasse freuen wir uns genauso.
Herstellung und Montage von Bauschildern, Bauzäunen und Fassadenlösungen – inkl. Design und 3D-Visualisierung.
bauschildundservice.deProfessioneller IT-Support aus Tschechien – Windows-Management, Domänen-Administration und Webhosting.
defendersoft.czReiseportal aus Deutschland – Pauschalreisen, Hotels und Flüge online, mit persönlicher Reisebüro-Beratung.
onlineweg.deKreativagentur aus Brandenburg – Webdesign, Printmedien, Fotografie und 360°-Panoramen aus einer Hand.
criadero.deIT-Dienstleister aus Wächtersbach – Joomla-Webseiten, PC-Service, Hard- und Software.
jahnedv.de