HTProtect.org
Unabhängige Informationsseite zu Joomla-Sicherheitslücken
HTProtect HTProtect JOOMLA SECURITY
htprotect.org Sicherheitslücken & Update-Anleitungen
Sicherheitslücke

RSFiles! – kritische Upload-Lücke mit Code-Ausführung

KritischCVE: Beantragt, noch nicht vergeben
Jetzt handeln
RSFiles! umgehend auf 1.17.12 oder neuer aktualisieren – bei Verdacht auf einen Befall zusätzlich bereinigen.

Sichere Version: RSFiles! 1.17.12 oder neuer · über RSJoomla! (Konto erforderlich)

Auf einen Blick

Betroffene Erweiterung
RSFiles! – Datei-/Download-Manager (com_rsfiles)
Hersteller
Art der Lücke
Unauthentifizierter Datei-Upload über eine Frontend-Aufgabe → Remote Code Execution (RCE); ohne Anmeldung, ohne Token, ohne Dateityp-Prüfung
Betroffene Versionen
Alle Versionen bis einschließlich 1.17.11
Sichere Version
RSFiles! 1.17.12 oder neuer   Download
Schweregrad
Kritisch
CVE
Beantragt, noch nicht vergeben
Joomla-Kompatibilität
Joomla 4 / 5 / 6
Stand / Veröffentlichung
Veröffentlicht/gepatcht: 10. Juli 2026

Worum geht es?

RSFiles! (com_rsfiles) verwaltet Datei-Downloads in Joomla. Der Upload-Weg im Frontend war ungeschützt: Die zuständige Aufgabe ließ sich ohne Anmeldung aufrufen, ohne Sicherheits-Token (CSRF), und die Datei wurde ohne Prüfung des Dateityps gespeichert.

Dadurch kann ein Angreifer eine PHP-Datei in den öffentlich erreichbaren Download-Ordner laden und anschließend direkt aufrufen – der eingeschleuste Code läuft dann auf dem Server (Remote Code Execution). Damit lässt sich die Seite vollständig übernehmen.

Betroffen sind alle Versionen bis einschließlich 1.17.11. Die Korrektur steht seit dem 10. Juli 2026 als 1.17.12 bereit. Eine CVE-Nummer war zum Zeitpunkt der Veröffentlichung beantragt, aber noch nicht vergeben.

Bin ich betroffen? – So prüfen Sie es

  1. Backend öffnen

    Melden Sie sich im Joomla-Administrator an.

  2. Version prüfen

    Unter ErweiterungenVerwaltenVerwalten nach RSFiles filtern und die Version ablesen.

  3. Version bewerten

    Ist die Version 1.17.11 oder älter, besteht akuter Handlungsbedarf.

  4. Auf Spuren achten

    Prüfen Sie den Download-Ordner von RSFiles! auf fremde .php-Dateien (per SSH z. B. find … -name "*.php") und die Benutzerliste auf unbekannte Administrator-Konten.

So schließen Sie die Lücke

Vor jedem Update: Backup
Sichern Sie Dateien und Datenbank, bevor Sie aktualisieren – so kommen Sie im Notfall zurück (z. B. über Akeeba Backup oder Ihren Hoster).
  1. Update-Center öffnen

    Gehen Sie zu SystemAktualisierenErweiterungen und klicken Sie auf Auf Updates prüfen.

  2. RSFiles! aktualisieren

    Wählen Sie den Eintrag und aktualisieren Sie auf 1.17.12 oder neuer.

  3. Version prüfen

    Kontrollieren Sie anschließend, dass die neue Version übernommen wurde.

Manuelle Installation (Alternative)
Erscheint kein Update, laden Sie das Paket in Ihrem RSJoomla!-Konto herunter und installieren Sie es über ErweiterungenVerwaltenInstallieren.

Offizielle Bezugsquelle: über RSJoomla! (Konto erforderlich). Achten Sie auf mindestens RSFiles! 1.17.12 oder neuer.

Wurde die Seite schon angegriffen?

Bei Befall reicht ein Update nicht
Das Update schließt die Lücke, entfernt aber keinen bereits hochgeladenen Schadcode. Durchsuchen Sie den Download-Ordner und die umliegenden Verzeichnisse nach fremden .php-Dateien, kontrollieren Sie die Benutzerliste auf neue Super-User und ändern Sie im Fund alle Passwörter (Joomla-Admin, FTP/SSH, Datenbank). Im Zweifel die Seite fachgerecht bereinigen lassen.

Du brauchst Hilfe bei der Bereinigung? Passende Fachleute findest du im Joomla-Dienstleisterverzeichnis.

Quellen & weiterführende Links

Maßgeblich sind stets die offiziellen Angaben des jeweiligen Herstellers. Diese Seite fasst öffentlich verfügbare Informationen neutral zusammen.

Unterstützer

Unterstützer dieser Seite

htprotect.org ist ein kostenloses, herstellerunabhängiges Informationsangebot. Unterstützt wird es von:

Hoster & Community
FC-Hosting

Joomla-Hoster aus Deutschland mit aktivem Community-Support – entdeckte den ersten Angriff auf die JCE-Sicherheitslücke.

fc-hosting.de
Initiator & Betreiber
Website-Bereinigung.de

Spezialisiert auf Bereinigung, Wartung und Absicherung von Joomla- und WordPress-Websites.

website-bereinigung.de

Dieses Projekt unterstützen

Du betreibst einen Hosting- oder Joomla-Dienst und möchtest htprotect.org fördern – und hier als Unterstützer sichtbar werden? Jede Unterstützung hilft, Betroffene schneller zu warnen und schneller zu schützen.

Lieber privat und ohne Nennung? Über einen kleinen Beitrag in die Kaffeekasse freuen wir uns genauso.

HTProtect jetzt unterstützen
Bauschild & Service

Herstellung und Montage von Bauschildern, Bauzäunen und Fassadenlösungen – inkl. Design und 3D-Visualisierung.

bauschildundservice.de
IT Specialista

Professioneller IT-Support aus Tschechien – Windows-Management, Domänen-Administration und Webhosting.

defendersoft.cz
onlineweg.de

Reiseportal aus Deutschland – Pauschalreisen, Hotels und Flüge online, mit persönlicher Reisebüro-Beratung.

onlineweg.de
Criadero

Kreativagentur aus Brandenburg – Webdesign, Printmedien, Fotografie und 360°-Panoramen aus einer Hand.

criadero.de
Jahn EDV-Dienst GmbH

IT-Dienstleister aus Wächtersbach – Joomla-Webseiten, PC-Service, Hard- und Software.

jahnedv.de