Joomla Sicherheitslücke im Tassos Framework / Novarain Framework

Tassos Novarain Framework VulnerabilityViele Joomla-Betreiber wissen gar nicht, dass das Tassos Framework beziehungsweise das frühere Novarain Framework überhaupt auf ihrer Website installiert ist. Genau das macht diese Sicherheitslücke so unangenehm: Betroffen ist das Plugin plg_system_nrframework, das häufig nur als technische Abhängigkeit im Hintergrund mitläuft.

Die Schwachstelle wird unter CVE-2026-21627 geführt und ist als kritisch (9,5 von 10) eingestuft. Besonders problematisch ist, dass Angriffe ohne Login möglich sein können. Außerdem ist bereits ein öffentliches Exploit-Tool bekannt geworden. Wer Joomla-Websites mit Tassos-Erweiterungen betreibt oder betreut, sollte deshalb nicht auf später verschieben, sondern jetzt prüfen.

Inhalt

  1. Worum geht es genau?
  2. Welche Websites sind betroffen?
  3. Warum diese Lücke in der Praxis so gefährlich ist
  4. Wichtiger Update-Block: Das ist jetzt konkret zu tun
    1. Danach unbedingt prüfen
  5. Wichtiger Sonderfall: Das Framework kann nach einer Deinstallation trotzdem noch vorhanden sein
  6. Woran du eine mögliche Kompromittierung erkennen kannst
  7. Fazit
  8. FAQ
    1. Was ist CVE-2026-21627?
    2. Ist Joomla selbst betroffen?
    3. Reicht es, nur eine Tassos-Erweiterung zu aktualisieren?
    4. Welche Framework-Version sollte nach dem Update installiert sein?
    5. Reicht ein Update immer aus?

Worum geht es genau?

Die Schwachstelle betrifft nicht den Joomla-Core selbst, sondern das System-Plugin plg_system_nrframework. Technisch hängt das Problem mit bestimmten AJAX-Anfragen über com_ajax zusammen. In ungünstigen Fällen kann das unter anderem Dateizugriffe, Dateilöschung oder Datenbankzugriffe ermöglichen - ohne dass sich ein Angreifer vorher normal einloggen muss.

Besonders tückisch ist dabei, dass das Framework oft zusammen mit Erweiterungen wie Convert Forms, EngageBox, Google Structured Data, Advanced Custom Fields, Smile Pack oder MailChimp Auto-Subscribe installiert wurde. Viele Betreiber haben den eigentlichen Framework-Namen deshalb nie bewusst wahrgenommen.

Welche Websites sind betroffen?

Betroffen sind Joomla-Websites, auf denen das Tassos beziehungsweise Novarain Framework installiert ist. Typischerweise findest du es unter diesem Pfad:

/plugins/system/nrframework/

Wichtige Dateien sind dabei unter anderem:

/plugins/system/nrframework/nrframework.php
/plugins/system/nrframework/nrframework.xml

Wenn diese Dateien vorhanden sind, ist das Framework installiert. Laut den veröffentlichten Angaben gelten insbesondere Versionen von 4.10.14 bis 6.0.37 als verwundbar.

Warum diese Lücke in der Praxis so gefährlich ist

Solche Schwachstellen sind in der Realität oft gefährlicher als viele Standard-Updates, weil sie leicht übersehen werden. Das Framework läuft häufig still im Hintergrund, obwohl die eigentliche Joomla-Seite auf den ersten Blick unauffällig wirkt. Gleichzeitig kann ein reines Update zwar die Sicherheitslücke schließen - aber keinen bereits eingeschleusten Schadcode automatisch entfernen.

Das heißt konkret: Wenn eine Website bereits kompromittiert wurde, reicht „einfach nur aktualisieren“ nicht aus. Dann müssen zusätzlich Dateien, Benutzerkonten, Logs und typische Backdoor-Spuren geprüft werden.

Wichtiger Update-Block: Das ist jetzt konkret zu tun

Der Hersteller empfiehlt, die betroffene Erweiterung passend zur eingesetzten Joomla-Version sofort auf die gepatchte Version zu aktualisieren. Wichtig dabei: Da alle Tassos-Erweiterungen dasselbe Framework gemeinsam nutzen, reicht es in vielen Fällen aus, eine installierte Tassos-Erweiterung zu aktualisieren. Das Framework wird dabei automatisch mit aktualisiert.

ErweiterungJoomla 4 / 5 / 6Joomla 3
Convert Forms v5.1.1 oder höher 🔗 v4.4.11 oder höher 🔗
EngageBox v7.1.1 oder höher 🔗 v6.3.9 oder höher 🔗
Google Structured Data v6.1.1 oder höher 🔗 v5.6.9 oder höher 🔗
Advanced Custom Fields v3.1.1 oder höher 🔗 v2.8.10 oder höher 🔗
Smile Pack v2.1.1 oder höher 🔗 v1.2.4 oder höher 🔗
MailChimp Auto-Subscribe v5.1.1 oder höher 🔗 v5.0.4 oder höher 🔗

Quelle: https://www.tassos.gr/blog/company/security-update-tassos-framework-patch-released#what-you-need-to-do

Danach unbedingt prüfen

  1. Im Joomla-Backend anmelden
  2. Zu System - Plugins gehen
  3. Nach Tassos Framework suchen
  4. Prüfen, ob die installierte Framework-Version 6.0.62 oder höher ist

Wenn dort 6.0.62 oder höher angezeigt wird, ist die Sicherheitslücke laut Hersteller geschlossen.

Wichtiger Sonderfall: Das Framework kann nach einer Deinstallation trotzdem noch vorhanden sein

Ein besonders wichtiger Punkt aus dem offiziellen Herstellerhinweis: Das Framework kann auch dann noch auf der Website vorhanden sein, wenn eine Tassos-Erweiterung früher schon einmal deinstalliert wurde. Der Grund ist, dass das Plugin als gemeinsame Abhängigkeit nicht automatisch entfernt wird, um andere Erweiterungen nicht zu beschädigen.

Deshalb solltest du auch dann prüfen, wenn du glaubst, die betreffende Erweiterung gar nicht mehr zu nutzen:

  1. Im Joomla-Backend anmelden
  2. Zu Erweiterungen - Plugins oder System - Plugins gehen
  3. Nach Tassos Framework suchen
  4. Wenn das Plugin noch vorhanden ist:
    • bei aktiver Nutzung einer Tassos-Erweiterung vollständig aktualisieren
    • bei keiner weiteren Nutzung manuell deinstallieren

Gerade dieser Punkt dürfte bei vielen betroffenen Websites entscheidend sein, weil solche Reste im Alltag leicht übersehen werden.

Woran du eine mögliche Kompromittierung erkennen kannst

Wenn auf deiner Website eine verwundbare Version installiert war, solltest du nicht nur updaten, sondern auch auf Auffälligkeiten prüfen. Verdächtig sind unter anderem:

  • unbekannte Admin-Benutzer
  • verdächtige PHP-Dateien in Upload-, Cache- oder temporären Verzeichnissen
  • manipulierte Template- oder Erweiterungsdateien
  • auffällige Requests rund um com_ajax und plugin=nrframework in den Server-Logs
  • Spam-Seiten, Weiterleitungen oder ungewöhnliche SEO-Artefakte im Google-Index

Wichtig: Ein erfolgreich eingespieltes Update bedeutet nicht automatisch, dass die Website auch bereits sauber ist.

Fazit

Die Sicherheitslücke im Tassos Framework beziehungsweise Novarain Framework ist vor allem deshalb gefährlich, weil sie viele Joomla-Betreiber zunächst gar nicht auf dem Schirm haben. Wer Tassos-Erweiterungen nutzt oder früher genutzt hat, sollte jetzt aktiv prüfen, ob plg_system_nrframework noch installiert ist, die betroffenen Erweiterungen aktualisieren und die Framework-Version kontrollieren.

Und genauso wichtig: Wenn es Anzeichen für einen Angriff gibt, sollte nicht nur gepatcht, sondern die Website auch vollständig geprüft und bei Bedarf bereinigt werden.

FAQ

Was ist CVE-2026-21627?

Das ist die Kennung der kritischen Sicherheitslücke im Joomla-Plugin plg_system_nrframework, also im Tassos beziehungsweise Novarain Framework.

Ist Joomla selbst betroffen?

Nein, betroffen ist nicht der Joomla-Core, sondern das zusätzliche Framework-Plugin.

Reicht es, nur eine Tassos-Erweiterung zu aktualisieren?

Ja, laut Hersteller reicht das in vielen Fällen aus, weil das gemeinsame Framework dabei automatisch mit aktualisiert wird.

Welche Framework-Version sollte nach dem Update installiert sein?

Nach dem Update sollte Tassos Framework v6.0.62 oder höher installiert sein.

Reicht ein Update immer aus?

Nein. Wenn die Website bereits kompromittiert wurde, muss zusätzlich geprüft werden, ob Schadcode, Backdoors oder andere Manipulationen vorhanden sind.

Details
Zuletzt aktualisiert: 04. April 2026

Ergänzende Angebote

Kunden über uns

„Umstellung unserer Joomla Website von PHP 5.3 auf PHP 7 lief super schnell, günstig und mit tadellosem Ergebnis. Sehr gute und nette Kommunikation.“
– H. Bergmann

„Innerhalb eines Tages wurde alles extrem professionell und extrem schnell gemacht. Sehr vertrauenswürdig. Excellent. 5 Sterne“
– Fernando V.

„Ich selbst wusste mir nicht zu helfen, fand hier aber die nötige Kompetenz, um alles wieder bereinigen zu lassen. Nötige Updates und Sicherungen wurden gemacht, alles äußerst preiswert, schnell und gut!“
– Klaus-Peter

„Die Seite sieht super aus – alles wie zuvor – und das unter PHP 7.2 – ich bin beeindruckt - ganz herzlichen Dank!“
– Dr. Ingo Wuddel

„Da wir einen Onlineshop betreiben war, es für uns sehr wichtig, dass unsere Seite schnell wieder im vollen Funktionsumfang für unsere Kunden zur Verfügung steht. Alle Arbeiten werden äußerst schnell zu unserer vollen Zufriedenheit ausgeführt.“ – Löwen Handels GmbH

„Sehr schnelle, seriöse und zielführende Bearbeitung des Problems. Zusätzlich wurden mir Tipps und Strato spezifische Infos mitgegeben, um das Risiko eines Wiederkehrens des Problems zu verringern.“
– Heino B.

„Der Kontakt war besonders freundlich, einige kosmetische Zusatzarbeiten wurden - als sei es selbstverständlich - von selbst in Angriff genommen. Ich bin erleichtert und sehr dankbar.“
– R. Mayer

„Super. In einer absoluten Notlage bei Sperrung von 2 Domains durch Strato wegen Hackerangriff wurden beide Domains zunächst temporär noch am gleichen Tag wieder live geschaltet.“
– I. Radchenko

„Hervorragender Service. Problem innerhalb von 18 Stunden gelöst. Wir sind begeistert. Vielen Dank 🙏“
– Tien Sy Vuong

Website-Bereinigung.de Support Service
5,0 205 Rezensionen > 5
Google Bewertungen

Kontaktmöglichkeiten

Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
Kontaktformular

Telefonat vereinbaren
+49 (0)2406 969796
Mo. - Fr. | 9 - 21 Uhr