Krytyczna podatność w rozszerzeniu JCE dla Joomla
Zespół CERT Polska informuje o krytycznej podatności w rozszerzeniu Joomla Content Editor (JCE) dla systemu Joomla, oznaczonej jako CVE-2026-48907.
Podatność pozwala nieuwierzytelnionym atakującym na utworzenie nowych profili edytora, co ostatecznie umożliwia wgrywanie i wykonywanie kodu PHP, prowadząc do pełnej kompromitacji strony lub serwera. Luka jest aktywnie wykorzystywana, a kod potrzebny do eksploitacji jest publicznie dostępny.
Podatne są wszystkie wersje rozszerzenia JCE do wersji 2.9.99.4 włącznie. Rekomendujemy natychmiastową aktualizację rozszerzenia do wersji 2.9.99.5 lub wersji najnowszej 2.9.99.6 (wymaga PHP 7.4 i Joomla 3.10+). Dla stron, które nie mogą spełnić wymagań aktualizacji, producent udostępnił darmowy pakiet mitygujący podatność dla wersji 2.7.x, 2.8.x i 2.9.x.
Należy pamiętać, że aktualizacja jedynie łata istniejącą podatność i nie wpływa na już dokonane nieautoryzowane zmiany. Zalecamy weryfikację systemów pod kątem następujących wskaźników kompromitacji:
Nieznane profile edytora w sekcji Components -> JCE Editor -> Editor Profiles (często z losowo wygenerowaną nazwą, umieszczone na początku listy).
Profile pozwalające na wgrywanie plików PHP lub skryptów w parametrze Permitted File Extensions.
Nieautoryzowane modyfikacje paska narzędzi w edytorze.
W logach serwera WWW: nieuwierzytelnione żądania do `index.php?option=com_jce&task=profiles.import`.
Nieautoryzowane pliki PHP w katalogach images, media lub tmp.
W przypadku potwierdzenia kompromitacji strony zalecamy zgłoszenie incydentu do naszego zespołu przez stronę incydent.cert.pl. Szczegółowe informacje, zalecenia oraz pakiet aktualizacji dla starszych wersji znajdują się na stronie producenta: https://www.joomlacontenteditor.net/news/jce-security-update-and-a-free-patch-for-older-sites