Helix Ultimate Sicherheitslücke: Joomla jetzt auf 2.2.7 updaten
Für das weit verbreitete Joomla-Template-Framework Helix Ultimate (von JoomShaper) ist heute, am 7. Juli 2026, Version 2.2.7 erschienen - ein Sicherheitsupdate, das du nicht auf morgen verschieben solltest. Geschlossen werden gleich mehrere Lücken in einem AJAX-Handler, den Joomla auch für nicht angemeldete Besucher ausführt. Die schwerwiegendste erlaubt einem Angreifer ganz ohne Login, in deine Menü-Einstellungen zu schreiben und darüber Schadcode einzuschleusen, der anschließend im Browser deiner Besucher - und in deiner eigenen Admin-Sitzung - ausgeführt wird.
Ein Wort vorweg, weil die Namen sich fast gleichen und genau das zu falschem Patchen führt: Diese Lücke betrifft Helix Ultimate, nicht das ältere Helix3. Helix3 hatte Ende Juni sein eigenes Sicherheitsupdate auf 3.1.1 - dazu haben wir separat berichtet. Beide Frameworks stammen von JoomShaper, sind aber getrennte Produkte mit eigenem Code und eigener Versionszählung. Wer beide im Einsatz hat, muss jedes einzeln aktualisieren.
Handeln solltest du zeitnah: Der gepatchte Code liegt seit heute öffentlich vor. Jeder kann ihn mit der alten Version vergleichen und daraus ableiten, wie die Lücke funktioniert - ab dann ist es nur eine Frage der Zeit, bis automatisierte Scanner gezielt nach veralteten Installationen suchen.
Was ist Helix Ultimate - und wer ist betroffen?
Helix Ultimate ist eines der meistgenutzten Template-Frameworks für Joomla. Es installiert sich als System-Plugin (System - Helix Ultimate Framework) zusammen mit einem Template und steuert Layout, Header und vor allem das Mega-Menü. Gerade weil es auf so vielen Seiten die komplette Menüführung übernimmt, wiegt diese Joomla Sicherheitslücke schwer.
Betroffen sind alle Versionen unterhalb von 2.2.7. Ein Sprung in der Versionszählung sorgt dabei für Verwirrung: Auf 2.2.4 folgt direkt 2.2.7 - ein 2.2.5 oder 2.2.6 hat es nie gegeben. Es gibt also keine ältere Version, auf der du gefahrlos sitzen bleiben könntest. Erfahrungsgemäß hängen viele Installationen sogar noch weit zurück auf der 2.1er- oder 1.1er-Linie und sind damit erst recht verwundbar.
Dabei reicht es aus, dass das Framework installiert ist. Das Plugin nur zu deaktivieren, schützt nicht: Die Dateien bleiben auf dem Server, und der verwundbare AJAX-Endpunkt lässt sich weiterhin direkt aufrufen.
So prüfst du deine installierte Version:
- Im Joomla-Backend anmelden
- Zu Erweiterungen - Verwalten gehen
- Nach Helix Ultimate filtern und die Versionsnummer kontrollieren
Steht dort eine Version kleiner als 2.2.7, besteht akuter Handlungsbedarf.
Die Lücke in einfachen Worten
Helix Ultimate bringt einen AJAX-Handler mit, den Joomla über seinen eingebauten com_ajax-Verteiler bereitstellt - erreichbar unter einer vorhersehbaren Adresse, ganz ohne Login. Mehrere Aktionen dieses Handlers erledigten ihre Arbeit, ohne vorher zu prüfen, ob der Aufrufer überhaupt angemeldet und berechtigt ist.
Am gefährlichsten ist die Aktion, die in die Menü-Einstellungen schreibt. Ein Fremder ohne Konto konnte damit Inhalte direkt in dein Menü bzw. Mega-Menü ablegen. Und weil diese Menü-Inhalte vor der Ausgabe nicht bereinigt wurden, ließ sich dort Schadcode parken - ein klassischer Stored XSS. Dieser Code läuft anschließend im Browser jedes Besuchers und, deutlich schlimmer, in deiner eigenen Admin-Sitzung, sobald du das Backend öffnest. Damit kann ein Angreifer in deinem Namen handeln, etwa still einen weiteren Super-User anlegen.
Der Menü-Schreibzugriff ist die Hauptgefahr, aber nicht die einzige. Im selben Handler steckten außerdem:
- eine Path-Traversal-Lücke beim Löschen von Dateien, über die sich Löschvorgänge aus dem vorgesehenen Ordner heraus auf beliebige Dateien innerhalb deiner Joomla-Installation richten ließen
- ein Open Redirect, der Besucher unbemerkt auf fremde Ziele umleiten kann
- ein ungeschützter Template-Export
Version 2.2.7 schließt all das: Sie setzt die fehlenden Login- und Rechteprüfungen über jede AJAX-Aktion hinweg wieder ein, sperrt Dateipfade so ein, dass sie ihren Ordner nicht mehr verlassen können, validiert Weiterleitungen, härtet den Datei-Upload und bereinigt die Menü- und Embed-Ausgabe, sodass sich kein Skript mehr einschmuggeln lässt. (Bestätigt im direkten Vergleich des Quellcodes vor und nach dem Patch.)
Das ist jetzt konkret zu tun
Aktualisiere Helix Ultimate umgehend auf Version 2.2.7. Es gibt zwei einfache Wege:
- Joomla-Updater: über System - Aktualisieren - Erweiterungen auf Updates prüfen und Helix Ultimate aktualisieren
- Direkt-Download: Paket bei joomshaper.com holen und über Erweiterungen - Verwalten - Installieren drüberinstallieren
Helix Ultimate besteht aus mehreren Teilen - dem System-Plugin und dem Template, mitunter zusätzlich einem Template-Installer-Plugin. Aktualisiere alles, was der Updater unter Helix Ultimate anbietet, nicht nur einen einzelnen Eintrag.
Wichtig: Das Plugin nur zu deaktivieren, genügt nicht - die Dateien bleiben liegen und der Endpunkt bleibt erreichbar. Und hast du in der Eile alte Dateien entfernt, spiel keine alten Versionen aus einem Backup zurück, sondern installiere 2.2.7 sauber neu.
Wurde meine Seite schon angegriffen?
Weil die Lücke ohne Login ausnutzbar ist und sowohl Menüs als auch Dateien betrifft, kannst du gezielt nach Spuren suchen:
- Menüs und Mega-Menü: Prüfe deine Menüeinträge und die Mega-Menü-Einstellungen auf Links oder Markup, die du nicht selbst gesetzt hast - besonders eingeschleuste
<script>-Schnipsel oder fremdes HTML. - Template-Einstellungen: Sieh in den Template-Optionen nach, ob unter Custom Code (etwa Custom JavaScript oder Custom CSS) etwas hinterlegt wurde, das du nicht kennst, oder ob sich Einstellungen unbemerkt geändert haben. Genau dort landet bei diesem Angriffstyp gern ein Defacement-Skript.
- Benutzerliste: Achte auf Super-User, die du nicht selbst angelegt hast - der Stored XSS zielt direkt auf deine Admin-Sitzung.
- Schutzdateien: Weil das Löschen Dateien treffen konnte, kontrolliere, ob deine
.htaccessund etwaigeindex.html-Platzhalter noch an Ort und Stelle sind. Fehlen sie, kann das ein Hinweis auf einen Zugriff sein.
Findest du etwas davon, behandle die Seite als kompromittiert. Lösche dann nicht einfach nur den auffälligen Eintrag, sondern geh strukturiert vor: Beweise sichern (Logs, Dateien, Zeitstempel), den gesamten Webspace gründlich auf Schadcode prüfen - nicht nur die Helix-Dateien -, anschließend alle Joomla-Passwörter, den Datenbank-Zugang und FTP/SSH-Zugänge wechseln und alle Sessions beenden. Ein eingespieltes Update entfernt keinen bereits abgelegten Schadcode und keinen bereits eingerichteten Fremd-Admin.
Zusätzlich absichern (kein Ersatz fürs Update): Monitoring und Härtung
Das Update bleibt der erste und wichtigste Schritt. Als zweite Verteidigungslinie hilft eine dauerhafte Überwachung: Wird über einen solchen Menü-Angriff ein Defacement oder fremder Code eingeschleust, sollte das sofort auffallen - nicht erst, wenn ein Besucher sich meldet.
Genau das übernimmt die kostenlose Komponente HTProtect: Ihr SEO- und Defacement-Wächter schlägt an, sobald sich deine Ausgabe unerwartet verändert, ihre Warnliste meldet dir, wenn eine installierte Erweiterung - wie Helix Ultimate vor 2.2.7 - als verwundbar bekannt wird, und ein Malware-Scan findet bereits abgelegte Hintertüren. Die .htaccess-Härtung sperrt zusätzlich die PHP-Ausführung in Upload- und Medienordnern und entschärft so die ganze Klasse von Nachlade-Angriffen. Ersetzen kann all das das Update aber nicht.
Unsicher, ob deine Joomla-Seite Helix Ultimate einsetzt oder bereits betroffen ist? Wir prüfen das für dich und bereinigen im Ernstfall den gesamten Webspace, nicht nur das Framework. Sieh dir auch unsere Soforthilfe bei gehackten Joomla-Seiten an.
Fazit
Die Helix Ultimate Sicherheitslücke ist kritisch: Ein Angreifer ohne Login konnte in deine Menüs schreiben und darüber Schadcode in deine Admin-Sitzung bringen, dazu kamen Datei-Löschung per Path Traversal, ein Open Redirect und ein offener Template-Export. Der Fix liegt mit 2.2.7 seit heute bereit. Die Reihenfolge ist klar: heute auf Helix Ultimate 2.2.7 aktualisieren - und wirklich alle Bestandteile -, danach Menüs, Template-Einstellungen, Benutzerliste und Schutzdateien prüfen. Und nicht mit Helix3 verwechseln: Das ist ein anderes Framework mit eigenem Update.
Quelle: Release Helix Ultimate 2.2.7 im offiziellen JoomShaper-Repository (github.com/JoomShaper/helix-ultimate) sowie die Sicherheitsmeldung von mySites.guru.
- Details
- Zuletzt aktualisiert: 07. Juli 2026
