Sicherheitslücke

Tassos Framework (ehem. Novarain) – kritische Lücke, CVSS 9,5

KritischCVSS 9,5 / 10Öffentlicher Exploit verfügbarCVE-2026-21627

Jetzt handeln

Eine beliebige Tassos-Erweiterung aktualisieren – dadurch wird das Framework automatisch auf 6.0.62+ angehoben.

Sichere Version herunterladen Zu den Update-Schritten

Sichere Version: Tassos Framework 6.0.62 oder höher · über Tassos-Konto

Auf einen Blick

Betroffene Erweiterung

Tassos Framework (ehem. Novarain) – System-Plugin plg_system_nrframework

Hersteller

Tassos Marinos (tassos.gr)

Art der Lücke

Unauthentifizierte AJAX-Aufrufe über com_ajax ermöglichen Datei- und Datenbankzugriffe; öffentliches Exploit-Tool verfügbar

Betroffene Versionen

Framework-Versionen 4.10.14 bis 6.0.37

Sichere Version

Tassos Framework 6.0.62 oder höher Download

Schweregrad

Kritisch · CVSS 9,5 / 10

CVE

CVE-2026-21627

Joomla-Kompatibilität

Joomla 3 / 4 / 5 / 6

Stand / Veröffentlichung

Stand: 4. April 2026

Worum geht es?

Das Tassos Framework – früher als Novarain Framework bekannt – läuft als System-Plugin (plg_system_nrframework) und bildet die gemeinsame Basis mehrerer populärer Erweiterungen. Über com_ajax waren AJAX-Anfragen ohne Authentifizierung möglich, die u. a. Dateizugriffe, das Löschen von Dateien oder Datenbankzugriffe erlaubten.

Die Lücke (CVE-2026-21627) wird mit einem CVSS-Wert von 9,5 von 10 als kritisch eingestuft; ein öffentliches Exploit-Tool ist verfügbar. Verwundbar sind Framework-Versionen 4.10.14 bis 6.0.37.

Betroffen sind insbesondere folgende Erweiterungen: Convert Forms, EngageBox, Google Structured Data, Advanced Custom Fields, Smile Pack und MailChimp Auto-Subscribe. Da alle dieselbe Framework-Basis nutzen, genügt es, eine davon zu aktualisieren – das Framework wird automatisch mitaktualisiert.

Sichere Mindestversionen je Erweiterung

Erweiterung	Joomla 4 / 5 / 6	Joomla 3
Convert Forms	`5.1.1`	`4.4.11`
EngageBox	`7.1.1`	`6.3.9`
Google Structured Data	`6.1.1`	`5.6.9`
Advanced Custom Fields	`3.1.1`	`2.8.10`
Smile Pack	`2.1.1`	`1.2.4`
MailChimp Auto-Subscribe	`5.1.1`	`5.0.4`

Nach dem Update einer dieser Erweiterungen muss das Tassos Framework 6.0.62 oder höher anzeigen.

Bin ich betroffen? – So prüfen Sie es

Backend öffnen
Melden Sie sich im Joomla-Administrator an.
Framework prüfen
Öffnen Sie System›Plugins und suchen Sie nach Tassos Framework. Alternativ prüfen Sie die Dateien /plugins/system/nrframework/nrframework.php und nrframework.xml.
Version bewerten
Liegt die Framework-Version zwischen 4.10.14 und 6.0.37, ist die Seite verwundbar. Sicher ist 6.0.62 oder höher.

So schließen Sie die Lücke

Vor jedem Update: Backup

Sichern Sie Dateien und Datenbank, bevor Sie aktualisieren – so kommen Sie im Notfall zurück (z. B. über Akeeba Backup oder Ihren Hoster).

Update-Center öffnen
Gehen Sie zu System›Aktualisieren›Erweiterungen und klicken Sie auf Auf Updates prüfen.
Eine Tassos-Erweiterung aktualisieren
Aktualisieren Sie eine beliebige installierte Tassos-Erweiterung (siehe Tabelle) auf die angegebene Mindestversion. Das Framework wird automatisch mitaktualisiert.
Framework verifizieren
Prüfen Sie unter System›Plugins, dass „Tassos Framework“ nun 6.0.62 oder höher anzeigt.

Sichere Version herunterladen

Offizielle Bezugsquelle: über Tassos-Konto. Achten Sie auf mindestens Tassos Framework 6.0.62 oder höher.

Wurde die Seite schon angegriffen?

Das Framework bleibt oft unbemerkt aktiv

Es läuft im Hintergrund und kann auch nach dem Deinstallieren einer Erweiterung erhalten bleiben (es wird nicht automatisch gelöscht). Angriffe sind ohne Login möglich. Bei Verdacht auf eine kompromittierte Seite zusätzlich prüfen: Backdoors, verdächtige Administrator-Konten und manipulierte Dateien.

Quellen & weiterführende Links

Detail-Analyse – Website-Bereinigung.deBetroffene Erweiterungen, Versionen, Bereinigung
CVE-2026-21627 (CVE.org)Offizieller CVE-Eintrag
Tassos (Hersteller)Bezug der Updates

Maßgeblich sind stets die offiziellen Angaben des jeweiligen Herstellers. Diese Seite fasst öffentlich verfügbare Informationen neutral zusammen.

Zur Übersicht aller Lücken

Unterstützer

Unterstützer dieser Seite

htprotect.org ist ein kostenloses, herstellerunabhängiges Informationsangebot. Unterstützt wird es von:

Hoster & Community

FC-Hosting

Joomla-Hoster aus Deutschland mit aktivem Community-Support – entdeckte den ersten Angriff auf die JCE-Sicherheitslücke.

fc-hosting.de

Initiator & Betreiber

Website-Bereinigung.de

Spezialisiert auf Bereinigung, Wartung und Absicherung von Joomla- und WordPress-Websites.

website-bereinigung.de

Dieses Projekt unterstützen

Du betreibst einen Hosting- oder Joomla-Dienst und möchtest htprotect.org fördern – und hier als Unterstützer sichtbar werden? Jede Unterstützung hilft, Betroffene schneller zu warnen und schneller zu schützen.

HTProtect jetzt unterstützen