Vulnerabilidades y Avisos de Seguridad: Carga de archivos no autenticados en Balbooa Forms para Joomla

Carga de archivos no autenticados en Balbooa Forms para Joomla

Recursos Afectados

com_baforms versión 2.4.0 y anteriores.

Descripción

mySites.guru ha publicado una vulnerabilidad de severidad crítica en Balbooa Forms que, en caso de ser explotada, podría permitir ejecución remota de código.

CISA ha indicado que esta vulnerabilidad podría estar siendo explotada de forma activa.

Identificador
INCIBE-2026-479

Solución

Balbooa ha solucionado el problema en la versión 2.4.1, publicada el 9 de julio de 2026.

Detalle

CVE-2026-56291: la función de carga de archivos en el frontend de Balbooa Forms aceptaba archivos de cualquier usuario sin autenticación, sin token CSRF y sin lista de permitidos en la extensión del archivo. Debido a que confiaba en el nombre del archivo del remitente, la carga .php termina en un directorio público y podía ejecutarse, lo que constituye una ejecución remota de código sin autenticación. 

5 – Crítica
CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-56291 Crítica Si Balbooa Forms

Fuente: link

Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.