Was ist passiert?
Am 29. Juni 2026 wurde die Schwachstelle CVE-2026-49049 im Helix3-Plugin für Joomla öffentlich bekannt. Laut der Beschreibung im National Vulnerability Database (NVD) exponiert das Plugin einen AJAX-Handler-Task, der ohne jegliche Authentifizierung erreichbar ist. Über diesen Handler können Angreifer:
- beliebige Dateien auf dem Server löschen,
- beliebige JSON-Dateien schreiben und damit Konfigurationen manipulieren,
- sowie Template-Parameter der Joomla-Installation verändern.
Gemeldet und bestätigt wurde die Lücke über den offiziellen Kanal des Plugin-Herstellers JoomShaper.
Wer ist betroffen?
Betroffen sind alle Joomla-Websites, die das Helix3 Template Framework von JoomShaper verwenden. Helix3 ist eines der populärsten Joomla-Template-Frameworks überhaupt und bildet die Basis zahlreicher kommerzieller und kostenfreier Joomla-Templates. Die Lücke lässt sich von außen ohne Login ausnutzen – ein einfacher HTTP-Request an den AJAX-Endpoint genügt. Besonders gefährdet sind Websites, die:
- ein auf Helix3 basierendes Template aktiv nutzen,
- keine zusätzliche Web-Application-Firewall (WAF) einsetzen,
- oder deren Joomla-Installation nicht regelmäßig aktualisiert wird.
Wie gefährlich ist die Lücke?
Der CVSS-Score von 7.5 (HIGH) spiegelt das erhebliche Schadenspotenzial wider. Durch das Löschen von Systemdateien kann ein Angreifer eine Website vollständig außer Betrieb setzen. Das Schreiben manipulierter JSON-Konfigurationsdateien kann dazu missbraucht werden, um die Website zu verunstalten (Defacement), Schadcode einzuschleusen oder sensible Konfigurationsparameter zu überschreiben. Da keinerlei Authentifizierung erforderlich ist, können auch automatisierte Angriffe (Bots, Massenscan) diese Lücke in großem Maßstab ausnutzen.
Was ist jetzt zu tun?
Handeln Sie umgehend, wenn Sie Helix3 auf einer Ihrer Joomla-Installationen einsetzen:
- Update einspielen: Prüfen Sie sofort im Joomla-Backend unter „Erweiterungen → Aktualisierung", ob ein Sicherheits-Update für Helix3 bereitsteht, und installieren Sie es umgehend.
- Herstellerseite prüfen: Verfolgen Sie die offiziellen Ankündigungen von JoomShaper zu gepatchten Versionen.
- Logs analysieren: Prüfen Sie Ihre Server-Logs auf verdächtige Zugriffe auf AJAX-Endpoints und unerwartete Dateiänderungen.
- WAF aktivieren: Erwägen Sie den Einsatz einer Web-Application-Firewall, um nicht authentifizierte Zugriffe auf kritische Endpoints zu blockieren.
- Backups sichern: Stellen Sie sicher, dass aktuelle, geprüfte Backups vorhanden sind, um im Ernstfall schnell wiederherstellen zu können.
Unterstützung durch monsi.it
Sie sind unsicher, ob Ihre Joomla-Website von CVE-2026-49049 betroffen ist, oder möchten die Sicherheit Ihrer gesamten Joomla-Infrastruktur professionell prüfen lassen? Unser Team bei monsi.it unterstützt Sie bei der Bewertung, dem Einspielen von Sicherheitsupdates und der nachhaltigen Absicherung Ihrer Website. Nehmen Sie jetzt Kontakt über unser Kontaktformular auf – wir melden uns schnellstmöglich bei Ihnen.