Zum Inhalt springen

CVE-2026-60025: CSRF-Lücke in Joomla Events Booking – Update auf 5.8.0 jetzt

Joomla-Extension Events Booking vor v5.8.0 erlaubt ungeschützte Datei-Uploads via CSRF – sofortiges Update erforderlich.
18. Juli 2026 durch
CVE-2026-60025: CSRF-Lücke in Joomla Events Booking – Update auf 5.8.0 jetzt
Ralph Tiedtke

Was ist passiert?

Am 17. Juli 2026 wurde die Schwachstelle CVE-2026-60025 im Joomla-Plugin Events Booking von JoomDonation öffentlich gemeldet. Betroffen sind alle Versionen vor 5.8.0. Der Frontend-Endpunkt für Datei-Uploads verfügte über keinerlei CSRF-Schutz (Cross-Site Request Forgery). Das bedeutet: Eine präparierte externe Website konnte im Hintergrund Anfragen im Namen eines angemeldeten Nutzers an das betroffene Joomla-System stellen – ohne dass der Nutzer davon etwas bemerkt.

Wer ist betroffen?

  • Alle Joomla-Websites, die Events Booking in einer Version älter als 5.8.0 einsetzen
  • Besonders Veranstalter, Vereine, Bildungseinrichtungen und Unternehmen, die das Plugin für Event-Registrierungen und Teilnehmerverwaltung nutzen
  • Websites, bei denen Besucher oder Teilnehmer Dateien (z. B. Nachweise, Dokumente) über das Frontend hochladen können

Wie gefährlich ist die Lücke?

Ein offizieller CVSS-Score liegt zum aktuellen Zeitpunkt noch nicht vor. Inhaltlich ist die Schwachstelle als mittelschwer bis ernst einzustufen: CSRF-Angriffe setzen zwar voraus, dass ein authentifizierter Nutzer eine bösartige Seite besucht, sind aber technisch vergleichsweise leicht durchführbar. Im schlechtesten Fall können Angreifer über den ungesicherten Upload-Endpunkt schadhaften Code oder unerwünschte Dateien auf den Webserver schleusen. Je nach Serverkonfiguration kann das zu weitreichenden Kompromittierungen führen – von Datenverlust bis hin zur vollständigen Übernahme des Webservers.

Da CSRF-Lücken in der Regel keine aktive Session des Angreifers auf der Zielseite erfordern, sind sie in der Praxis schwer zu erkennen und werden häufig unterschätzt.

Was ist jetzt zu tun?

  • Sofortiges Update auf Events Booking Version 5.8.0 oder neuer durchführen
  • Prüfen, ob auf dem Server bereits unbekannte oder verdächtige Dateien hochgeladen wurden
  • Serverseitige Upload-Verzeichnisse auf ausführbare Dateien (z. B. PHP-Skripte) untersuchen und ggf. bereinigen
  • Joomla und alle weiteren Extensions grundsätzlich aktuell halten und regelmäßige Sicherheitsaudits durchführen
  • Web Application Firewall (WAF) in Betracht ziehen, um CSRF- und Upload-Angriffe proaktiv zu blockieren

Unterstützung durch monsi.it

Sie betreiben eine Joomla-Website mit Events Booking oder sind unsicher, ob Ihre Joomla-Installation auf dem aktuellen Stand und ausreichend abgesichert ist? Unser Team bei monsi.it unterstützt Sie bei der schnellen Einschätzung, beim Update-Management und bei der langfristigen Absicherung Ihrer Webpräsenz. Nehmen Sie jetzt Kontakt zu uns auf – über unser Kontaktformular.

CVE-2026-60025: CSRF-Lücke in Joomla Events Booking – Update auf 5.8.0 jetzt
Ralph Tiedtke 18. Juli 2026
Diesen Beitrag teilen
Stichwörter
Archiv
Kritische SQL-Injection in Quix Page Builder Pro: Joomla-Websites sofort prüfen
Eine unauthentifizierte SQL-Injection im Joomla-Plugin Quix Page Builder Pro gefährdet Datenbanken – sofortiger Handlungsbedarf für betroffene Website-Betreiber.