--- title: "Joomla extensies veiligheidslekken Juni 2026" date: 2026-06-16 author: "Jeroen Moolenschot" intro_image: "https://www.joomill.com/images/blog/veiligheidslekken-juni2026.png" --- # Joomla extensies veiligheidslekken Juni 2026 ![Joomla extensies veiligheidslekken Juni 2026](https://www.joomill.com/images/blog/veiligheidslekken-juni2026.png) Juni 2026 was geen fijne maand als je een Joomla-site draait. In een paar weken tijd kwamen er drie kritieke lekken naar buiten in extensies die op enorm veel sites staan: de **JCE-editor**, **SP Page Builder** en **iCagenda**. Alle drie ongeveer hetzelfde type lek, en alle drie al actief misbruikt voordat de meeste sitebeheerders doorhadden dat er iets speelde. Het goede nieuws is dat er voor alle drie inmiddels een update is. Het minder goede nieuws: een update installeren sluit de deur, maar als er al iemand binnen is gekomen, staat die er na het updaten gewoon nog. Dat onderscheid wordt vaak gemist, en het is precies daar waar sites alsnog de mist in gaan. ## Wat er precies misging Alle drie de lekken komen op hetzelfde neer. Ergens in de extensie zat een onderdeel dat een geüpload bestand accepteerde zonder te controleren wie de uploader is, dus zonder dat er een login nodig was, en zonder goed te controleren wat voor bestand het is. Daardoor kon een aanvaller een PHP-bestand op de server zetten en dat vervolgens uitvoeren. In de praktijk betekent dat volledige controle over je site: data eruit halen, pagina's aanpassen, een achterdeur plaatsen, of jouw server gebruiken om andere sites aan te vallen. In jargon heet dat remote code execution, en dat is zo ongeveer het ergste wat er met een website kan gebeuren. | Extensie | Wat het is | Kwetsbaar | Veilig vanaf | | --- | --- | --- | --- | | JCE | De meest geïnstalleerde editor voor Joomla | Alles ouder dan 2.9.99.6 | 2.9.99.6 | | SP Page Builder | De page builder van JoomShaper | Alles t/m 6.6.1 | 6.6.2 | | iCagenda | Agenda- en evenementencomponent | Ouder dan 4.0.8 | 4.0.8 | Hieronder loop ik de drie stuk voor stuk langs: wat de extensie is, wat er misging en wat je moet doen. ## JCE: ongeauthenticeerde profiel-upload, veilig vanaf versie 2.9.99.6 [JCE](https://www.joomlacontenteditor.net/), voluit Joomla Content Editor, is de meest geïnstalleerde editor voor Joomla. Op heel veel sites vervangt hij de standaardeditor, vaak zonder dat de beheerder er nog bij stilstaat dat het een aparte extensie is. Juist die alomtegenwoordigheid maakt een lek erin zo aantrekkelijk voor aanvallers. Het lek liet bezoekers zonder login editor-profielen uploaden, en via die omweg kon er een willekeurig bestand op de server worden gezet, inclusief uitvoerbare PHP. De makers reageerden in twee stappen: eerst een spoedupdate (2.9.99.5) die het gat dichtte, en kort daarna 2.9.99.6, het resultaat van een paar dagen waarin de hele extensie is doorgelicht en de invoercontroles zijn aangescherpt. Belangrijk detail: 2.9.99.6 is de versie waar je op moet zitten, niet 2.9.99.5. Stop dus niet halverwege. Dit is bovendien niet de eerste keer dat JCE een upload-lek heeft. Jaren geleden was er ook al een dat op grote schaal is misbruikt, en precies daarom moet je een nieuw JCE-lek meteen serieus nemen: aanvalsbots weten dat de editor zo'n beetje overal draait. Update naar 2.9.99.6 via de Joomla-updater of rechtstreeks bij de maker, de Pro-versie werkt gewoon op Joomla 3, 4, 5 en 6. Kun je niet updaten, verwijder JCE dan tijdelijk. Controleer daarna of er editor-profielen zijn bijgekomen die jij niet hebt aangemaakt. ## SP Page Builder: upload-lek dat verborgen beheerders plant, gedicht in 6.6.2 [SP Page Builder](https://www.joomshaper.com/page-builder) van JoomShaper is een van de populairste page builders voor Joomla, waarmee je pagina's in elkaar sleept zonder te coderen. Het lek zat in een upload-functie van de component zelf, de taak die normaal een eigen icoon laat uploaden (`asset.uploadCustomIcon`). Die accepteerde een bestand zonder enige login, waardoor een aanvaller een PHP-webshell kon plaatsen en uitvoeren. Wat dit lek extra vervelend maakt, is wat aanvallers er in de praktijk mee deden. Ze gebruikten de controle die ze kregen om een verborgen Super User aan te maken, zodat ze een eigen ingang houden, ook nadat jij netjes hebt geüpdatet. Nog een aandachtspunt: een firewallregel die de JCE-aanval tegenhoudt, blokkeert deze niet automatisch. Het is een andere extensie met een ander patroon, dus leunen op je WAF alleen is hier niet genoeg. Elke versie tot en met 6.6.1 is kwetsbaar, gedicht in 6.6.2. Update dus naar 6.6.2 en loop daarna je gebruikerslijst na op beheerders die je niet zelf hebt aangemaakt. ## iCagenda: bestandsupload in het evenementencomponent, opgelost in 4.0.8 [iCagenda](https://www.icagenda.com/) van JoomliC is een agenda- en evenementencomponent, gebruikt op sites die activiteiten of een evenementenkalender publiceren. Het lek was een ongeauthenticeerde bestandsupload in de map waar het component zijn uploads bewaart, met opnieuw remote code execution als gevolg. Dit was een echte zero-day: het werd al misbruikt voordat er een fix bestond. De maker had nog dezelfde dag 4.0.8 klaar. Wil je in je logs nagaan of jouw site is geprobeerd, let dan op een patroon waarbij een bot eerst iets naar de site post en vervolgens meteen een .php-bestand opvraagt in de uploadmap van het component. Dat is de vorm van een aanval die er al van uitgaat dat hij binnen is. Update naar 4.0.8 en controleer de uploadmap van het component op PHP-bestanden die daar niet thuishoren. ## Waarom dit bij Joomla-extensies blijft gebeuren Dit is geen toeval, en het ligt ook niet aan Joomla zelf. Het patroon is steeds hetzelfde. Een populaire extensie heeft ergens een onderdeel dat bestanden mag ontvangen, een mediabeheerder, een icoon-upload, een bijlage bij een evenement, en ergens in die keten ontbreekt een controle. Hoe meer sites zo'n extensie draaien, hoe waardevoller dat ene gaatje wordt, want een aanvaller hoeft het maar één keer te vinden. Daarna gaat het automatisch. Bots scannen massaal het internet af op sites die de kwetsbare extensie draaien en vuren overal hetzelfde trucje af. Jouw site hoeft daarvoor niet interessant te zijn. Het is genoeg dat je de verkeerde extensie in de verkeerde versie draait. Dat is meteen waarom losse extensies, hoe handig ook, je grootste risico-oppervlak vormen: de Joomla-kern wordt streng bewaakt, maar elke extensie die je installeert is code van iemand anders die je er gewoon bij vertrouwt. ## De inbreker is misschien al binnen Hier zit de eigenlijke boodschap. Is een van deze lekken op jouw site misbruikt voordat je updatte, dan heeft de aanvaller in die periode iets achtergelaten om binnen te blijven. Updaten dicht het gat waardoor hij naar binnen kwam, maar het verwijdert niet wat hij in de tussentijd heeft geplaatst. Drie dingen die je dan kunt aantreffen: - **Een verborgen beheerder.** Een extra Super User met een geloofwaardige naam, denk aan iets als "Web Editor" of "Admin Backup", en vaak een mailadres dat nergens op slaat. Dat account staat gewoon in je gebruikerslijst. Je moet er alleen even kijken om het te zien. - **Een webshell.** Een geüpload PHP-bestand waarmee de aanvaller later opnieuw commando's kan uitvoeren, ook als je het oorspronkelijke lek al hebt gedicht. Die bestanden staan meestal op plekken waar je ze niet verwacht, in uploadmappen of verstopt tussen legitieme bestanden. - **Een kwaadaardige instelling in de extensie zelf.** Bij JCE bijvoorbeeld een editor-profiel dat veel meer mag dan het zou moeten. Tegelijk geldt het omgekeerde ook: niet alles wat verdacht oogt, is een hack. Haal je een scanner over je site, dan krijg je vaak een lijst met bestanden die als "verdacht" worden gemarkeerd omdat ze op een patroon lijken. Dat is iets om naar te kijken, niet iets om in paniek te verwijderen. Het verschil zit tussen "dit bestand lijkt qua opbouw op iets kwaadaardigs" en "dit bestand is aantoonbaar aangepast of geïnjecteerd". Het eerste vraagt om een blik, het tweede om actie. Wie dat onderscheid niet maakt, sloopt of zijn eigen site, of mist juist de echte achterdeur. ## Wat je nu het beste kunt doen 1. **Update meteen als je een van deze drie draait.** JCE naar 2.9.99.6, SP Page Builder naar 6.6.2, iCagenda naar 4.0.8. Doe dat via de Joomla-updater of rechtstreeks bij de maker. Kun je echt niet updaten, schakel de extensie dan uit tot het wel kan. 2. **Controleer daarna of er al iets gebeurd is.** Loop je lijst met Super Users na op accounts die je niet zelf hebt aangemaakt, en kijk in de uploadmappen van de betreffende extensie naar PHP-bestanden die daar niet horen. 3. **Vergeet je andere sites niet.** Draai je meer Joomla-sites, of beheer je ze voor klanten, ga ze dan allemaal langs. Een aanvalsbot maakt geen onderscheid, dus jij moet dat ook niet doen. Controleer tevens je ontwikkel- en testwebsites. Ook al worden deze niet geïndexeerd, ze zijn voor bots makkelijk vindbaar. 4. **Houd een back-up van vóór de update achter de hand,** voor het geval je iets moet terugzetten of wilt vergelijken. ## Custom Fields **Call2Action Titel:** Even laten meekijken? **Call2Action Tekst:** Loop je hier tegenaan en heb je geen zin of tijd om je sites stuk voor stuk na te lopen, dan is dit precies het soort werk dat onder onderhoud valt. Ik houd dit soort lekken in de gaten, draai de updates door op de sites die ik beheer, en controleer of er iets is misgegaan voordat het een probleem wordt. Wil je dat ik even meekijk, of dat we het onderhoud van je site of sites uit handen nemen, stuur me dan een mailtje. Dan kijken we samen wat er nodig is.