Joomla: Schwachstelle CVE-2026-21628 im Astroid-Framework wird angegriffen

Veröffentlicht am 20. März 2026 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)Ich stelle mal eine Information und Beobachtung eines Blog-Lesers hier ein (danke), die für Nutzer der Joomla-Plattform relevant ist. Im Astroid-Framework gibt es eine  kritische Schwachstelle (CVSS 4.0 von 10.0), die mutmaßlich nach Beobachtung des Lesers gerade angegriffen wird. Ihm sowie einem Bekannten wurde die Joomla-Plattform gerade gehackt.

Die Secure-Boot-Zertifikate laufen ab. Was sollen Admins tun? Kostenloses eBook » (Sponsored by IT Pro)

Joomla ist (ähnlich wie das für den Blog hier verwendete WordPress) ein freies Content-Management-System zur Erstellung von Webseiten. Joomla steht unter der GNU General Public License.

Joomla wird über Schwachstelle gehackt

Blog-Leser Christian K. hat mich gerade per E-Mail kontaktiert und schrieb: "Hallo Herr Born, meine eigene, als auch die Joomla Webseite eines Bekannten werden gerade gehackt, weil im Astroid Framework eine Sicherheitslücke existiert." Der Leser hat den nachfolgenden Scan der All-Inkl.com Virenscanner mitgeschickt.

Der obige, zweite Screenshot weist astroid als mit einer Sicherheitslücke behaftet aus. Der Leser hat mir dann noch den Link auf den Beitrag CVE-2026-21628: CWE-434 Unrestricted Upload of File with Dangerous Type in astroidframe.work Astroid Template Framework gepostet, wo sich Hinweise zur Schwachstelle finden.

Schwachstelle CVE-2026-21628

CVE-2026-21628 ist eine kritische Sicherheitslücke, die im Astroid Template Framework entdeckt wurde, einem beliebten Joomla-Template-Framework, das zur Gestaltung und Verwaltung von Website-Layouts verwendet wird. Der CVSS 4.0-Basiswert der Schwachstelle beträgt 10,0, kritisch, bedeutet. Es ist ein Netzwerkangriffsvektor, keine erforderlichen Berechtigungen oder Benutzerinteraktion erfordert und hohe Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit hat.

Die Schwachstelle CVE-2026-21628 entsteht durch eine unzureichend gesicherte Dateiverwaltungsfunktion, die es nicht authentifizierten Benutzern ermöglicht, Dateien ohne ordnungsgemäße Validierung oder Einschränkung der Dateitypen hochzuladen.

Diese uneingeschränkte Upload-Funktion ermöglicht es Angreifern, schädliche Dateien wie Web-Shells oder Skripte hochzuladen, die remote auf dem Server ausgeführt werden können, was zu einer vollständigen Remote-Code-Ausführung (RCE) führt.

Die betroffenen Framework-Versionen reichen von 2.0.0 bis 3.3.10. Die Schwachstelle ist unter CWE-434 klassifiziert, was auf ein Versäumnis hinweist, gefährliche Dateitypen beim Hochladen einzuschränken. Die Schwachstelle wurde am 5. März 2026 veröffentlicht, und es sind derzeit keine Patches verlinkt, was darauf hindeutet, dass die Behebung manuelle Eingriffe oder Updates vom Anbieter erfordern könnte.

Reverse-Shell wird installiert

Dazu schrieb der Leser: "Ich vermute, ich bin nicht der einzige. Es sieht so aus, als bleibt es aktuell in den meisten Fällen beim Upload einer Reverse-Shell." Hier noch ein Bild der beim Leser hochgeladenen Dateien:

Dieser Beitrag wurde unter Internet, Sicherheit, Software abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.