Het is een hectische week geweest voor de beveiliging van Joomla. Drie afzonderlijke zero-day-lekken in veelgebruikte extensies, waarvan er twee vandaag bevestigd zijn, komen allemaal neer op hetzelfde: een upload-endpoint dat bestanden accepteert van iedereen, zonder inloggegevens en zonder controle op de inhoud van het bestand. Een PHP-shell installeren, uitvoeren en de site overnemen.

Dit is niet nieuw. Deze kwetsbaarheden zitten al jaren in de code van extensies. Wat wel veranderd is, is hoe snel ze worden gevonden. Laat AI de broncode van een extensie analyseren en alle uploadpaden markeren die de inlogcontrole overslaan en een klus die vroeger een zorgvuldige middag in beslag nam, is nu in een paar minuten geklaard. Dat werkt twee kanten op: aanvallers gebruiken dezelfde truc. Er duiken dus steeds meer van deze lekken op, ze volgen elkaar snel op en worden vrijwel direct misbruikt.

Dit is wat er deze week is uitgekomen, van ergst naar minst erg: de zero-day-kwetsbaarheid van SP Page Builder die actief nep-Super Admins aanmaakt, de zero-day-kwetsbaarheid van iCagenda en de aanhoudende golf van kwetsbaarheden in de JCE-editor.