Zum Inhalt springen

CVE-2026-58148: Stored-XSS-Lücke in Joomla-Erweiterung ChronoForms – sofort handeln

Eine unauthentifizierte Stored-XSS-Schwachstelle in ChronoForms gefährdet alle Joomla-Websites mit dieser Erweiterung – Handlungsbedarf jetzt.
18. Juli 2026 durch
CVE-2026-58148: Stored-XSS-Lücke in Joomla-Erweiterung ChronoForms – sofort handeln
Ralph Tiedtke

Was ist passiert?

Am 17. Juli 2026 wurde die Schwachstelle CVE-2026-58148 im National Vulnerability Database (NVD) veröffentlicht. Sie betrifft die populäre Joomla-Erweiterung ChronoForms von ChronoEngine. Bei dieser Lücke handelt es sich um ein unauthentifiziertes Stored Cross-Site-Scripting (XSS): Ein Angreifer kann ohne jede vorherige Anmeldung oder Berechtigung schadhaften JavaScript-Code in Formularfelder einschleusen, der dauerhaft in der Datenbank gespeichert wird.

Wer ist betroffen?

Betroffen sind grundsätzlich alle Joomla-Websites, auf denen ChronoForms installiert und aktiv ist. ChronoForms gehört zu den meistgenutzten Formular-Erweiterungen im Joomla-Ökosystem und wird auf unzähligen KMU-Websites, Verbänden, Shops und Portalen eingesetzt. Besonders gefährdet sind Websites mit öffentlich zugänglichen Formularen (Kontaktformulare, Registrierungen, Bestellformulare).

Wie gefährlich ist diese Lücke?

Stored XSS gehört zu den schwerwiegenderen Web-Sicherheitslücken, da der Schadcode persistent – also dauerhaft – auf dem Server gespeichert wird und bei jedem Seitenaufruf ausgeführt wird. Mögliche Angriffsszenarien umfassen:

  • Session-Hijacking: Diebstahl von Admin- oder Nutzersitzungen, um die Website vollständig zu übernehmen.
  • Defacement: Manipulation des sichtbaren Seiteninhalts für alle Besucher.
  • Malware-Verbreitung: Auslieferung von Schadsoftware an ahnungslose Website-Besucher.
  • Phishing: Einblenden gefälschter Login-Formulare oder Weiterleitungen.

Da für die Ausnutzung keine Authentifizierung erforderlich ist, ist die Angriffsfläche sehr groß. Ein CVSS-Score ist zum Zeitpunkt der Veröffentlichung noch nicht final vergeben, die Einstufung als hohes Risiko ist jedoch angesichts der Schwachstellenart gerechtfertigt.

Was ist jetzt zu tun?

  • Prüfen Sie sofort, ob ChronoForms auf Ihrer Joomla-Website installiert ist (Joomla-Backend → Erweiterungen → Verwalten).
  • Deaktivieren Sie die Erweiterung vorübergehend, falls noch kein Sicherheitsupdate verfügbar ist – gerade bei öffentlich erreichbaren Formularen.
  • Aktualisieren Sie ChronoForms auf die neueste verfügbare Version, sobald der Hersteller ChronoEngine einen Patch bereitstellt.
  • Prüfen Sie Ihre Datenbank und Logs auf verdächtige Einträge in Formular-Tabellen, die JavaScript-Code enthalten könnten (<script>, onerror=, javascript:).
  • Halten Sie Ihr gesamtes Joomla-System aktuell – Core, Templates und alle weiteren Erweiterungen.

Unsere Empfehlung

Sicherheitslücken wie CVE-2026-58148 zeigen, wie schnell eine einzelne veraltete oder ungepatchte Erweiterung zur Achillesferse Ihrer gesamten Website werden kann. Regelmäßige Sicherheits-Audits, proaktives Update-Management und ein professionelles Monitoring sind keine Kür – sie sind Pflicht für jeden seriösen Website-Betrieb.

Sind Sie unsicher, ob Ihre Joomla-Website betroffen ist, oder möchten Sie Ihre Erweiterungen und Sicherheitskonfiguration professionell prüfen lassen? Sprechen Sie uns an – wir helfen Ihnen schnell und unkompliziert weiter: Jetzt Kontakt aufnehmen.

CVE-2026-58148: Stored-XSS-Lücke in Joomla-Erweiterung ChronoForms – sofort handeln
Ralph Tiedtke 18. Juli 2026
Diesen Beitrag teilen
Stichwörter
Archiv
CVE-2026-60025: CSRF-Lücke in Joomla Events Booking – Update auf 5.8.0 jetzt
Joomla-Extension Events Booking vor v5.8.0 erlaubt ungeschützte Datei-Uploads via CSRF – sofortiges Update erforderlich.