Dwie podatności w rozszerzeniach Joomla: Events Booking i Phoca Download. Aktualizacje z lipca 2026
W lipcu 2026 roku pojawiły się dwie ważne aktualizacje bezpieczeństwa dla popularnych rozszerzeń Joomla: Events Booking 5.8.0 oraz Phoca Download 6.1.3. Oba przypadki dotyczą miejsc, w których rozszerzenia przyjmują dane od użytkowników. W Events Booking chodzi między innymi o upload plików podczas rejestracji na wydarzenie i wyciek danych użytkownika. W Phoca Download problem dotyczył uploadu plików przez zalogowanych użytkowników i mógł prowadzić do wykonania kodu na serwerze.
Jeżeli administrujesz stroną Joomla z rejestracjami, strefą użytkownika, plikami do pobrania albo formularzami, sprawdź wersje tych rozszerzeń. Aktualizacja powinna być wykonana po kopii zapasowej, z krótkim testem działania formularzy, rejestracji, pobierania plików i uprawnień użytkowników.
Joomla Guru może pomóc w opiece technicznej Joomla, aktualizacji rozszerzeń, kontroli wersji i regularnym monitorowaniu strony. Jeśli widzisz podejrzane pliki, nowych administratorów albo nietypowy ruch, właściwą ścieżką jest czyszczenie zainfekowanej strony Joomla.
Spis treści
- Events Booking 5.8.0: poprawki bezpieczeństwa w rejestracjach i uploadzie plików
- CVE dla Events Booking
- Phoca Download 6.1.3: podatność przy uploadzie członków serwisu
- Kiedy Phoca Download jest szczególnie narażony?
- Aktualizacje, które trzeba sprawdzić
- Co sprawdzić po aktualizacji
- Upload plików to jedno z najbardziej wrażliwych miejsc w Joomla
- Pomoc przy aktualizacji i kontroli strony Joomla
- Źródła i dalsza lektura
Events Booking 5.8.0: poprawki bezpieczeństwa w rejestracjach i uploadzie plików
15 lipca 2026 roku JoomDonation opublikował Events Booking 5.8.0 jako wydanie bezpieczeństwa. Autor rozszerzenia opisał dwa problemy występujące we wcześniejszych wersjach.
Pierwszy problem to brak kontroli uprawnień, który pozwalał niezalogowanemu użytkownikowi pobrać dane dowolnego użytkownika Joomla na podstawie podanego ID. W komunikacie producent wymienia imię i adres e-mail. To nie jest pełne przejęcie strony, ale dla serwisów z rejestracją, wydarzeniami, szkoleniami lub zapisami online jest to realny wyciek danych osobowych.
Drugi problem dotyczył endpointu uploadu plików używanego przy rejestracji na wydarzenie przez AJAX. We wcześniejszej wersji brakowało kontroli tokenu CSRF. Producent dodał token, dodatkowe sprawdzenia oraz plik .htaccess, który ma blokować bezpośredni dostęp do plików w katalogu uploadu. Dodał też zabezpieczenie, które wyłącza endpoint uploadu, jeżeli strona nie korzysta z pól typu File.
W praktyce warto sprawdzić Events Booking na każdej stronie, gdzie użytkownicy mogą rejestrować się na wydarzenia i dodawać załączniki. Nawet jeśli upload plików nie jest używany świadomie, konfiguracja po latach zmian mogła zostać włączona przez przypadek albo odziedziczona po starszym formularzu.
CVE dla Events Booking
W bazach podatności pojawiły się wpisy powiązane z Events Booking sprzed wersji 5.8.0:
- CVE-2026-60024 - domyślna możliwość uploadu zasobów medialnych przez niezalogowanych użytkowników,
- CVE-2026-60025 - frontendowy endpoint uploadu plików bez ochrony CSRF,
- CVE-2026-58149 - enumeracja użytkowników pozwalająca pobrać nazwy kont i adresy e-mail.
Warto zwrócić uwagę na różnicę w języku komunikatów. Autor Events Booking na forum określił dwa problemy jako średnie. Zewnętrzne bazy podatności potrafią klasyfikować powiązane wpisy ostrzej, zwłaszcza gdy w grę wchodzi upload plików lub dane użytkowników. Dla administratora praktyczny wniosek jest prosty: nie trzeba wpadać w panikę, ale nie warto odkładać aktualizacji.
Phoca Download 6.1.3: podatność przy uploadzie członków serwisu
Phoca Download to popularny komponent Joomla do publikowania i pobierania plików. W wersjach do 6.1.2 włącznie znaleziono błąd w mechanizmie uploadu plików przez zalogowanych użytkowników. Poprawka została wydana w Phoca Download 6.1.3.
Według analizy mySites.guru problem polegał na tym, że ścieżka uploadu dla członków serwisu nie korzystała z tej samej listy dozwolonych typów plików, która zabezpieczała inne miejsca uploadu w komponencie. W efekcie zalogowany użytkownik, przy włączonej funkcji uploadu i odpowiednich uprawnieniach w kategorii, mógł wgrać plik, który powinien zostać odrzucony, na przykład skrypt PHP.
Taki scenariusz jest klasyfikowany jako authenticated remote code execution, czyli zdalne wykonanie kodu przez zalogowanego użytkownika. Podatność jest śledzona jako CVE-2026-57828, z wynikiem CVSS 4.0 na poziomie 9.0. Warunki ataku są węższe niż przy podatnościach bez logowania, ale skutki na podatnej konfiguracji mogą być bardzo poważne.
Kiedy Phoca Download jest szczególnie narażony?
Największe ryzyko dotyczy stron, na których jednocześnie spełnione są trzy warunki:
- zainstalowano Phoca Download w wersji 6.1.2 lub starszej,
- włączono upload plików przez użytkowników z frontendu,
- kategoria Phoca Download pozwala zalogowanym użytkownikom dodawać pliki.
Jeżeli upload członków jest wyłączony, ta konkretna ścieżka ataku nie powinna być dostępna. Mimo to aktualizacja nadal jest zalecana, bo poprawione wydanie usuwa błąd w kodzie i porządkuje zabezpieczenie uploadu.
Aktualizacje, które trzeba sprawdzić
Dla Events Booking zaktualizuj rozszerzenie do wersji 5.8.0 lub nowszej. Jeśli utrzymujesz jeszcze stronę na Joomla 3 z Events Booking 4.x, z forum JoomDonation wynika, że dla Joomla 3 przygotowano wersję 4.9.5, ale nie jest ona udostępniana w standardowej sekcji pobierania. Producent odsyła w takim przypadku do zgłoszenia supportowego.
Dla Phoca Download zainstaluj wersję 6.1.3 lub nowszą. Najnowszy pakiet dla Joomla 5/6 znajdziesz na oficjalnej stronie pobierania Phoca oraz w wydaniu GitHub:
- Phoca Download - oficjalna strona pobierania
- Phoca Download 6.1.3 - wydanie GitHub
- Phoca Download 6.1.3 - komunikat producenta
Co sprawdzić po aktualizacji
Sama aktualizacja zamyka znane wejście, ale nie daje odpowiedzi na pytanie, czy ktoś wcześniej próbował wykorzystać podatność. Po wdrożeniu poprawek warto wykonać krótką kontrolę:
- sprawdź wersje Events Booking i Phoca Download w panelu Joomla,
- wykonaj test rejestracji na wydarzenie i uploadu plików, jeśli ta funkcja jest używana,
- sprawdź katalogi uploadu pod kątem plików PHP, PHTML, dziwnych nazw i świeżo zmodyfikowanych plików,
- przejrzyj konta administratorów oraz konta z nietypowymi uprawnieniami,
- sprawdź logi serwera z okresu przed aktualizacją, szczególnie żądania do endpointów uploadu,
- upewnij się, że lista dozwolonych typów plików nie dopuszcza skryptów wykonywalnych,
- zaktualizuj Joomla, szablon i pozostałe rozszerzenia, jeśli są zaległości.
Przy stronach firmowych, sklepach, serwisach szkoleniowych i portalach z kontami użytkowników dobrze jest zachować kopię logów przed ich rotacją. Logi często są jedynym miejscem, które pozwala ustalić, czy podejrzany plik pojawił się przez panel, formularz, FTP, SFTP czy podatny endpoint.
Upload plików to jedno z najbardziej wrażliwych miejsc w Joomla
Obie aktualizacje pokazują ten sam wzorzec ryzyka: rozszerzenie przyjmuje plik albo dane od użytkownika i musi bardzo precyzyjnie sprawdzić, kto wysyła żądanie, czy ma do tego prawo, czy żądanie ma poprawny token i jaki typ pliku faktycznie trafia na serwer.
W dobrze skonfigurowanej stronie upload powinien być ograniczony tylko do potrzebnych grup użytkowników. Lista dozwolonych rozszerzeń powinna być krótka, a katalogi uploadu nie powinny wykonywać PHP. Warto też pamiętać, że blokada po rozszerzeniu pliku nie wystarcza. Liczy się rzeczywista zawartość pliku, konfiguracja serwera, uprawnienia katalogów i kontrola dostępu w samym komponencie.
Pomoc przy aktualizacji i kontroli strony Joomla
Jeżeli utrzymujesz jedną stronę, sprawdzenie wersji i aktualizacja zwykle zajmą niewiele czasu. Przy kilku lub kilkunastu stronach Joomla problemem staje się inwentaryzacja: trzeba wiedzieć, gdzie zainstalowano Events Booking, gdzie działa Phoca Download, które wersje są podatne i które formularze pozwalają na upload.
W Joomla Guru możemy przeprowadzić aktualizację i opiekę techniczną Joomla: kopia zapasowa, aktualizacja rozszerzeń, test działania strony, kontrola wersji i podstawowy przegląd bezpieczeństwa. Jeśli pojawiły się podejrzane pliki lub objawy infekcji, właściwym krokiem jest usuwanie wirusów z Joomla, wraz z analizą plików, użytkowników, haseł i logów.
Źródła i dalsza lektura
FAQ
Czy Phoca Download był podatny bez logowania?
Według opisu mySites.guru podatność CVE-2026-57828 wymagała zalogowanego użytkownika, włączonego uploadu członków serwisu i kategorii z prawem dodawania plików. Nie był to scenariusz bez logowania, ale skutkiem mogło być wykonanie kodu na serwerze.
Czy sama aktualizacja wystarczy?
Aktualizacja zamyka znany problem, ale nie usuwa plików, które mogły zostać wcześniej wgrane. Po aktualizacji warto sprawdzić katalogi uploadu, konta administratorów, logi serwera i listę dozwolonych typów plików.
Do jakiej wersji zaktualizować Events Booking?
Dla aktualnej gałęzi rozszerzenia zalecana jest wersja Events Booking 5.8.0 lub nowsza. Dla starych stron Joomla 3 producent wspomniał o wersji 4.9.5 dostępnej przez support JoomDonation.
Do jakiej wersji zaktualizować Phoca Download?
Zaktualizuj Phoca Download do wersji 6.1.3 lub nowszej. Oficjalna strona pobierania Phoca pokazuje pakiet com_phocadownload_v6.1.3.zip dla Joomla 5/6, a wydanie GitHub 6.1.3 jest oznaczone jako security release.
Czy podatności dotyczą każdej strony Joomla?
Nie. Problem dotyczy stron, na których zainstalowano Events Booking albo Phoca Download w podatnych wersjach. Jeśli nie używasz tych rozszerzeń, te konkretne podatności Cię nie dotyczą, ale nadal warto sprawdzić pozostałe aktualizacje Joomla.
Czy Joomla Guru może pomóc w aktualizacji i sprawdzeniu strony?
Tak. Joomla Guru może wykonać aktualizację rozszerzeń, kopię zapasową, testy po wdrożeniu i podstawową kontrolę bezpieczeństwa. Przy podejrzeniu infekcji można zlecić czyszczenie Joomla, analizę plików, kont użytkowników i logów serwera.