ช่องโหว่ CVSS 10.0 ในส่วนขยาย Joomla 'iCagenda' และ 'Balbooa Forms' ถูกใช้โจมตีแบบ Zero-Day — CISA เพิ่มเข้า KEV

CISA เพิ่มช่องโหว่ระดับร้ายแรงสูงสุด 2 รายการในส่วนขยาย iCagenda และ Balbooa Forms ของ Joomla เข้าแคตตาล็อก KEV หลังมีรายงานการโจมตีแบบ Zero-day ทั้งคู่ได้ CVSS 10.0 CVE-2026-48939 ใน iCagenda เปิดให้อัปโหลดไฟล์ตามอำเภอใจจนรันโค้ด PHP ถูกโจมตีตั้งแต่ 15 มิ.ย. 2569 ผ่านฟอร์ม Submit an Event ส่วน CVE-2026-56291 ใน Balbooa Forms เปิดให้อัปโหลดไฟล์โดยไม่ต้องล็อกอิน ไม่มี CSRF token และไม่เช็กชนิดไฟล์ นำไปสู่ RCE แบบไม่ต้องยืนยันตัวตน หน่วยงานรัฐกลางสหรัฐฯ ต้องแพตช์ภายใน 13 ก.ค. 2569