USA küberturvalisuse agentuur CISA lisas oma teadaolevate ärakasutatud turvanõrkuste kataloogi kaks kriitilist Joomla laienduste turvaviga, mille abil ründajad on laadinud haavatavatele veebilehtedele pahatahtlikku koodi. Nõrkused puudutavad sündmuste kalendri laiendust iCagenda (CVE-2026-48939) ning populaarset vormikoostajat Balbooa Forms (CVE-2026-56291). Mõlemale on määratud maksimaalne CVSS-skoor 10.
Joomla-l põhineb umbes 1,2% kõigist veebilehtedest ehk ligikaudu miljon saiti maailmas. Turvanõrkused võimaldavad ründajatel üles laadida suvalisi faile, mida saab serveris käivitada PHP-koodina, andes seeläbi kaugjuhtimise võimaluse. iCagenda puhul kasutatakse ära sündmuste esitamise funktsiooni manuste laadimist. Turvafirma mySites.guru sõnul märgati rünnakuid vaid tunde enne paigatud versioonide 4.0.8 ja 3.9.15 avaldamist juunis.
Balbooa Formsi turvanõrkus võimaldas anonüümsetel külastajatel laadida faile ilma autentimise, CSRF-kaitse ega failitüübi kontrollita. Balbooa avaldas paranduse versioonis 2.4.1 juulis, kuid uuendamata saitide vastu jätkuvad rünnakud. Föderaalasutustel on kohustus turvapaigad paigaldada, kuid hoiatus kehtib kogu Joomla kogukonnale.