HTProtect.org Unabhängige Informationsseite zu Joomla-Sicherheitslücken
HTProtect HTProtect JOOMLA SECURITY
htprotect.org Sicherheitslücken & Update-Anleitungen
Unabhängige Informationsseite

Joomla-Sicherheitslücken – aktuell & verständlich erklärt

htprotect.org bündelt aktuelle, kritische Sicherheitslücken beliebter Joomla-Erweiterungen und -Frameworks – sachlich, kostenlos und mit Schritt-für-Schritt-Anleitungen, die auch für Einsteiger nachvollziehbar sind. Ziel: Betroffene schnell warnen und beim Schließen der Lücken unterstützen.

6 aktuelle Lücken Neutral & kostenlos Quellen verlinkt
Zur Sicherheitslage Update-Grundlagen
Worum geht es hier – und worum nicht
Diese Seite ist neutral und informativ, nicht werblich. Sie fasst öffentlich verfügbare Hersteller- und Forschungsinformationen zusammen und verlinkt die Originalquellen. Einzige Ausnahme ist der klar gekennzeichnete Abschnitt zur Schutz-Erweiterung HTProtect. In allen Fällen gilt: Die wirksamste Maßnahme ist das zeitnahe Einspielen der offiziellen Updates.
Sicherheits-Ampel

Aktuelle Sicherheitslage

Sechs aktuelle, als kritisch eingestufte Lücken. Prüfen Sie die installierten Versionen – Details und Anleitungen je Eintrag.

  • Helix3 Framework
    Mehrere unauthentifizierte Datei- und Upload-Lücken im AJAX-Plugin.
    Sicher mit: Helix3 3.1.1 · Download
    Details
  • Astroid Framework
    Unauthentifizierter Upload → Code-Ausführung; in freier Wildbahn ausgenutzt.
    Sicher mit: Astroid 3.3.13 oder neuer · Download · CVE-2026-21628 · aktiv ausgenutzt
    Details
  • Tassos / Novarain
    Unauthentifizierte AJAX-Lücke im Framework vieler Erweiterungen; CVSS 9,5.
    Sicher mit: Tassos Framework 6.0.62 oder höher · Download · CVE-2026-21627
    Details
  • JCE Editor
    Unauthentifizierter Upload; wird aktiv für Webshells ausgenutzt.
    Sicher mit: JCE 2.9.99.5 – besser 2.9.99.6 · Download · aktiv ausgenutzt
    Details
  • iCagenda
    Fehlende Login-Prüfung im Event-Formular → Upload ohne Anmeldung.
    Sicher mit: iCagenda 4.0.8 · Download
    Details
  • SP Page Builder
    Zero-Day-Upload → RCE ohne Login; aktiv ausgenutzt.
    Sicher mit: SP Page Builder 6.6.2 (Notfall-Update) · Download · aktiv ausgenutzt
    Details
Die Lücken im Detail

Kurzüberblick & Einstieg

Jede Lücke kurz angerissen – ein Klick führt zur ausführlichen, einsteigerfreundlichen Anleitung.

Helix3 Framework
JoomShaper
Kritisch

Im Template-Framework Helix3 von JoomShaper wurden mehrere schwerwiegende Lücken im AJAX-Plugin bekannt – darunter das Schreiben und Löschen von Dateien sowie das Hochladen von PHP-Code ohne Anmeldung. Betroffen sind alle Versionen vor 3.1.1; die Korrektur 3.1.1 steht über den normalen Joomla-Updater bereit. Wichtig: Helix3 ist nicht mit dem neueren Helix Ultimate zu verwechseln.

Mehr erfahren Sichere Version
Astroid Framework
TemPlaza
Kritischaktiv ausgenutzt

Im weit verbreiteten Astroid Framework erlaubt eine kritische Lücke das Hochladen von Dateien ohne jede Anmeldung – und damit im schlimmsten Fall das Ausführen von Schadcode (RCE). Betroffen sind die Versionen 2.0.0 bis 3.3.10; behoben ab 3.3.11, empfohlen wird 3.3.13 oder neuer (CVE-2026-21628). Bereits angegriffene Seiten zeigen oft untergeschobene Plugins wie „BLPayload“ oder „JCachePro“.

Mehr erfahren Sichere Version
Tassos / Novarain
tassos.gr
KritischExploit verfügbar

Das Tassos Framework (früher Novarain) steckt unbemerkt in vielen beliebten Erweiterungen wie Convert Forms oder EngageBox. Über unauthentifizierte AJAX-Aufrufe sind Datei- und Datenbankzugriffe möglich – die Lücke gilt mit CVSS 9,5 als hochkritisch, ein öffentliches Exploit-Tool existiert (CVE-2026-21627). Es genügt, eine beliebige Tassos-Erweiterung zu aktualisieren: Das Framework wird dabei automatisch auf eine sichere Version (6.0.62+) gehoben.

Mehr erfahren Sichere Version
JCE Editor
JoomlaContentEditor
Kritischaktiv ausgenutzt

JCE ist einer der meistgenutzten Editoren für Joomla. Eine unzureichende Zugriffskontrolle erlaubte es nicht angemeldeten Angreifern, Editor-Profile und darüber beliebige Dateien hochzuladen – die Lücke wird bereits aktiv zum Einschleusen von Webshells ausgenutzt. Betroffen sind alle Versionen vor 2.9.99.5 (Free wie Pro), unabhängig davon, ob die Registrierung aktiviert ist. Sicher ist 2.9.99.5, besser die nachgelegte 2.9.99.6.

Mehr erfahren Sichere Version
iCagenda
Veranstaltungskalender
Kritisch

iCagenda ist ein beliebter Veranstaltungskalender für Joomla. Im Formular zum Einreichen von Events fehlte eine echte Login-Prüfung – dadurch konnten auch nicht angemeldete Angreifer Dateien hochladen, selbst wenn das Formular eigentlich auf registrierte Nutzer beschränkt war. Betroffen sind alle Versionen vor 4.0.8; die Korrektur 4.0.8 erschien am 15. Juni 2026.

Mehr erfahren Sichere Version
SP Page Builder
JoomShaper
Kritischaktiv ausgenutzt

SP Page Builder ist einer der meistgenutzten Page-Builder für Joomla. Eine Zero-Day-Lücke in der Funktion zum Hochladen von Custom-Icons prüfte weder Anmeldung noch Dateityp und erlaubte so das Ausführen von Schadcode (RCE) ohne Login. Betroffen ist die gesamte 6.x-Reihe bis einschließlich 6.6.1; das Notfall-Update 6.6.2 schließt die Lücke. Sie wird bereits aktiv ausgenutzt und hinterlässt versteckte Super-User und Backdoors.

Mehr erfahren Sichere Version
Grundlagen

So aktualisieren Sie eine Joomla-Erweiterung sicher

Fast alle hier beschriebenen Lücken schließen Sie auf demselben Weg – über das Joomla-Update-Center. Diese allgemeine Anleitung gilt für Einsteiger:

Zuerst: Backup anlegen
Sichern Sie Dateien und Datenbank, bevor Sie etwas ändern – etwa mit Akeeba Backup oder über Ihren Hoster. So können Sie im Problemfall zurück.
  1. Im Backend anmelden

    Rufen Sie den Joomla-Administrator auf (Ihre Domain mit Zusatz /administrator) und melden Sie sich an.

  2. Update-Center öffnen

    Gehen Sie zu SystemAktualisierenErweiterungen und klicken Sie auf Auf Updates prüfen.

  3. Erweiterung aktualisieren

    Wählen Sie die betroffene Erweiterung aus der Liste und klicken Sie auf Aktualisieren. Joomla lädt und installiert die neue Version automatisch.

  4. Version kontrollieren

    Prüfen Sie anschließend die installierte Versionsnummer (Komponente bzw. ErweiterungenVerwalten) und gleichen Sie sie mit der „sicheren Version“ auf der jeweiligen Detailseite ab.

  5. Bei Verdacht auf Befall: bereinigen

    Ein Update schließt die Lücke, entfernt aber keinen bereits eingeschleusten Schadcode. Bei Auffälligkeiten die Seite fachgerecht bereinigen lassen und alle Passwörter ändern.

Kein Update sichtbar?
Aktualisieren Sie zuerst Joomla selbst und prüfen Sie unter SystemAktualisierenUpdate-Quellen, ob die Quelle aktiv ist. Andernfalls laden Sie das Paket beim Hersteller herunter und installieren es über ErweiterungenVerwaltenInstallieren.
Schutz-Erweiterung
HTProtect

Viele der hier gelisteten Lücken folgen demselben Muster: unauthentifizierter Datei-Upload. Genau hier setzt HTProtect an – als zusätzliche Schutzschicht für Joomla, die ein Hersteller-Update aber nicht ersetzt.

1-Klick-Absicherung Joomla-Sicherheits-Erweiterung von Website-Bereinigung.de
Echtzeit-Schutz (WAF)
Blockt Exploit-Aufrufe auch im POST-Body, die eine reine .htaccess nicht sieht.
Exploit-Schild & Live-Signaturen
Neue Signaturen werden automatisch geladen – Zero-Days werden zeitnah abgedeckt.
Upload-Ordner-Härtung
Verhindert die Ausführung hochgeladener PHP-Dateien – genau das Einfallstor dieser Lücken.
Überwachung & Mail-Alarm
Wächter prüft Dateien, Super-User-Konten, Defacement & Warnliste und meldet Auffälligkeiten.
Site-Scan & verwundbare Erweiterungen
Prüft die Installation u. a. auf bekannte, verwundbare Erweiterungen.
HTTPS-Erzwingung & Backend-Schutz
Erzwingt HTTPS und kann den Administrator-Zugang zusätzlich absichern.

Hinweis: HTProtect ersetzt keine Updates. Die wirksamste Maßnahme bleibt das zeitnahe Einspielen der Hersteller-Updates – HTProtect reduziert das Risiko im Zeitfenster davor und meldet Auffälligkeiten.

Mehr zu HTProtect
Unterstützer

Unterstützer dieser Seite

htprotect.org ist ein kostenloses, herstellerunabhängiges Informationsangebot. Unterstützt wird es von:

Hoster & Community
FC-Hosting

Joomla-Hoster aus Deutschland mit aktivem Community-Support – entdeckte den ersten Angriff auf die JCE-Sicherheitslücke.

fc-hosting.de
Initiator & Betreiber
Website-Bereinigung.de

Spezialisiert auf Bereinigung, Wartung und Absicherung von Joomla- und WordPress-Websites.

website-bereinigung.de

Dieses Projekt unterstützen

Du betreibst einen Hosting- oder Joomla-Dienst und möchtest htprotect.org fördern – und hier als Unterstützer sichtbar werden? Jede Unterstützung hilft, Betroffene schneller zu warnen.

HTProtect jetzt unterstützen