iCagenda Sicherheitslücke: Joomla jetzt auf 4.0.8 updaten
Für die Joomla-Event-Erweiterung iCagenda (von JoomliC) ist heute, am 15. Juni 2026, Version 4.0.8 erschienen - ein Sicherheitsupdate, das du nicht auf morgen verschieben solltest. Geschlossen wird eine kritische iCagenda Sicherheitslücke, über die ein nicht angemeldeter Angreifer Events einreichen und dabei eine Datei auf den Server hochladen kann. Laut Hinweisgeber wird diese Joomla Sicherheitslücke bereits aktiv ausgenutzt.
Die technischen Details werden derzeit bewusst zurückgehalten, und eine CVE-Nummer ist öffentlich noch nicht vergeben - das verschafft dir einen kleinen Vorsprung. Den solltest du nutzen: Sobald die Details bekannt sind, greifen automatisierte Scanner solche Lücken erfahrungsgemäß binnen Stunden auf. Wer iCagenda einsetzt, spielt das Joomla Update deshalb am besten heute ein.
Was ist iCagenda - und wer ist betroffen?
iCagenda ist eine weit verbreitete Event-Komponente für Joomla: ein Veranstaltungskalender, mit dem sich Termine anzeigen und - je nach Konfiguration - auch von Besuchern einreichen lassen. Genau diese Einreichen-Funktion ist der verwundbare Punkt.
Betroffen sind alle iCagenda-Versionen vor 4.0.8, einschließlich der bis heute aktuellen 4.0.7. Es spielt dabei keine Rolle, ob das Einreichungsformular bei dir überhaupt sichtbar eingebunden ist - verwundbar ist die Seite, sobald iCagenda in einer veralteten Version installiert ist.
So prüfst du deine installierte Version:
- Im Joomla-Backend anmelden
- Zu Erweiterungen - Verwalten gehen
- Nach iCagenda filtern und die Versionsnummer kontrollieren
Steht dort eine Version kleiner als 4.0.8, besteht akuter Handlungsbedarf.
Die Lücke in einfachen Worten
Stell dir das Event-Einreichungsformular wie eine Tür mit Klingel vor. Die Klingel - in der Technik das CSRF-Token - wurde abgefragt. Aber niemand hat geprüft, ob der Klingelnde überhaupt einen Schlüssel besitzt. Genau das war das Problem: Der Absende-Handler des Formulars prüfte nur das Sicherheits-Token, aber nicht, ob der Absender angemeldet und berechtigt ist.
Das ist deshalb tückisch, weil Joomla auch für anonyme Besucher eine gültige Session samt Token erzeugt. Ein gültiges Token belegt also nur, dass die Anfrage aus einer echten Session stammt - nicht, dass ein berechtigter Nutzer dahintersteht. So konnte ein nicht angemeldeter Angreifer ein Event einreichen und dabei eine Datei hochladen - selbst dann, wenn das Formular eigentlich auf registrierte Nutzer beschränkt war (was der Standard ist). Im Kern ist das ein unauthentifizierter Datei-Upload; die hochgeladene Datei landet unter images/icagenda/frontend/.
Version 4.0.8 schließt das, indem sie eine echte Login-Prüfung, eine Zugriffsebenen-Prüfung und eine Menü-Validierung ergänzt. (Festgestellt im direkten Vergleich des Quellcodes von 4.0.7 und 4.0.8.)
Das ist jetzt konkret zu tun
Aktualisiere iCagenda auf Version 4.0.8 - heute, nicht irgendwann. Das Update ist die einzige Maßnahme, die die Lücke wirklich schließt.
So aktualisierst du iCagenda
- Im Joomla-Backend anmelden
- Zu System - Aktualisieren - Erweiterungen gehen
- Auf Auf Updates prüfen klicken
- Den Eintrag iCagenda auswählen und auf Aktualisieren klicken
Erscheint kein Update, lade das Paket direkt bei icagenda.com herunter und spiel es über Erweiterungen - Verwalten - Installieren ein.
Wichtig: Hast du die Komponente früher einmal entfernt, spiel keine alten Dateien aus einem Backup zurück. Installiere stattdessen 4.0.8 sauber neu - sonst holst du dir womöglich die Lücke oder bereits hinterlassenen Schadcode wieder ins Haus.
Wurde meine Seite schon angegriffen?
Weil die Lücke ohne Login ausnutzbar ist und einen Upload hinterlässt, kannst du gezielt nach Spuren suchen. Achte auf:
- fremde oder unerwartete Dateien unter
images/icagenda/frontend/, besonders mit Skript-Endung (etwa.php) oder verdächtigem Zeitstempel - unbekannte oder unsinnige eingereichte Events, die du nicht selbst angelegt oder freigegeben hast
- ungewöhnliche Dateien an anderen Stellen des Webspace sowie neue, dir unbekannte Admin-Konten
Findest du etwas davon, betrachte die Seite als kompromittiert. Lösche dann nicht einfach die auffällige Datei, sondern geh strukturiert vor: Beweise sichern (Logs, Dateien, Zeitstempel), den gesamten Webspace gründlich auf Schadcode prüfen - nicht nur iCagenda -, danach alle Passwörter und Secrets ändern. Ein eingespieltes Update entfernt keinen bereits abgelegten Schadcode.
Zusätzlich absichern (kein Ersatz fürs Update): Server-Härtung
Das Update bleibt der erste und wichtigste Schritt. Als zweite Verteidigungslinie hilft eine Server-Härtung: Eine passende .htaccess, die die PHP-Ausführung im images-Ordner sperrt, sorgt dafür, dass eine dort abgelegte PHP-Datei gar nicht erst startet. Das neutralisiert die gefährlichste Folge - eine Remote Code Execution -, verhindert aber weder den Upload selbst noch eingeschleuste Spam-Events. Ohne Update bleibt die Lücke also offen; die Härtung entschärft nur den schlimmsten Ausgang.
Genau diese Härtung übernimmt die kostenlose Komponente HTProtect automatisch: Sie sperrt die PHP-Ausführung in Upload- und Medienordnern und meldet dir per Warnliste, sobald eine installierte Erweiterung - wie iCagenda vor 4.0.8 - als verwundbar bekannt wird. Ein Malware-Scan findet zusätzlich bereits abgelegte Dropper. Ersetzen kann beides das Update aber nicht.
Unsicher, ob deine Joomla-Seite iCagenda einsetzt oder bereits betroffen ist? Wir prüfen das für dich und bereinigen im Ernstfall den gesamten Webspace, nicht nur die eine Komponente. Schau dir auch unsere Soforthilfe bei gehackten Joomla-Seiten an.
Fazit
Die iCagenda Sicherheitslücke ist kritisch, der Fix ist da, und die Details werden bald öffentlich. Wenn du iCagenda einsetzt, gibt es nur eine sinnvolle Reihenfolge: heute auf iCagenda 4.0.8 aktualisieren und danach kurz prüfen, ob bereits etwas hochgeladen wurde. Server-Härtung und Monitoring kommen danach - sie ersetzen das Update nicht.
Quelle: offizielle Veröffentlichung des Entwicklers auf icagenda.com bzw. joomlic.com.
- Details
- Zuletzt aktualisiert: 15. Juni 2026
