CVE-2026-49049
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 13 — wyżej niż 13% wszystkich znanych CVE
Streszczenie
Wtyczka Helix3 dla Joomla! udostępnia zadanie obsługi AJAX, które pozwala nieuwierzytelnionym atakującym na usuwanie dowolnych plików, zapisywanie dowolnych plików JSON oraz aktualizację parametrów szablonu.
Ocena ryzyka
Atakujący może usunąć krytyczne pliki systemowe, wstrzyknąć złośliwe dane JSON lub zmienić konfigurację szablonu, co może prowadzić do przejęcia kontroli nad stroną Joomla!.
Rekomendacja
Należy natychmiast zaktualizować wtyczkę Helix3 do najnowszej wersji oraz ograniczyć dostęp do zadań AJAX tylko dla uwierzytelnionych użytkowników.
Oryginalny opis (angielski, źródło NVD)
The Helix3 plugin for Joomla exposes an ajax handler task, that allows unauthenticated attackers to delete arbitrary files, write arbitrary JSON files and update template parameters.

