Krytyczna podatność w rozszerzeniu JCE dla Joomla (CVE-2026-48907) – Aktualizuj natychmiast!

Zespół CERT Polska wydał pilne ostrzeżenie dotyczące krytycznej luki bezpieczeństwa w popularnym rozszerzeniu Joomla Content Editor (JCE) dla systemu Joomla. Podatność została oznaczona jako CVE-2026-48907 i jest obecnie aktywnie wykorzystywana przez cyberprzestępców. Kod pozwalający na przeprowadzenie ataku (PoC) jest publicznie dostępny, co drastycznie zwiększa ryzyko infekcji stron opartych na tym CMS-ie.

Na czym polega zagrożenie?

Luka umożliwia nieuwierzytelnionemu napastnikowi zdalne utworzenie nowych profili edytora. W efekcie atakujący zyskuje możliwość wgrywania oraz uruchamiania złośliwego kodu PHP na serwerze. Może to doprowadzić do pełnego przejęcia kontroli nad stroną internetową oraz całym serwerem (RCE), na którym się ona znajduje.

Które wersje są podatne?

Zagrożone są wszystkie wersje rozszerzenia JCE do wersji 2.9.99.4 włącznie.

Jak zabezpieczyć swoją stronę?

Rekomendujemy podjęcie natychmiastowych działań:

  1. Aktualizacja: Jeśli Twoja strona spełnia wymagania systemowe, niezwłocznie zaktualizuj rozszerzenie JCE do wersji 2.9.99.5 lub najnowszej 2.9.99.6 (uwaga: wersja ta wymaga PHP 7.4+ oraz Joomla 3.10+).
  2. Darmowa łatka dla starszych systemów: Dla administratorów witryn, które z różnych przyczyn nie mogą zostać zaktualizowane do najnowszych wersji, producent przygotował specjalny, darmowy pakiet mitygujący przeznaczony dla gałęzi 2.7.x, 2.8.x oraz 2.9.x.

Szczegóły oraz pliki instalacyjne znajdziesz na oficjalnej stronie producenta: JCE Security Update.

Czy moja strona została już zainfekowana? (Wskaźniki Kompromitacji)

Należy pamiętać, że sama instalacja aktualizacji naprawia lukę na przyszłość, ale nie wpływa na już dokonane nieautoryzowane zmiany. Koniecznie zweryfikuj swój system pod kątem poniższych wskaźników kompromitacji (IoC):

  • Nieznane profile edytora: Sprawdź sekcję Components -> JCE Editor -> Editor Profiles. Szukaj profili o losowo wygenerowanych nazwach, które często pojawiają się na samym początku listy.
  • Podejrzane uprawnienia rozszerzeń plików: Zwróć uwagę, czy któryś z profili pozwala na wgrywanie plików PHP lub skryptów w parametrze Permitted File Extensions.
  • Modyfikacje paska narzędzi: Sprawdź, czy w edytorze nie pojawiły się nieautoryzowane zmiany na pasku narzędzi.
  • Logi serwera WWW: Przeanalizuj logi pod kątem nieuwierzytelnionych żądań kierowanych do: index.php?option=com_jce&task=profiles.import
  • Nieznane pliki PHP: Poszukaj nieautoryzowanych plików z rozszerzeniem .php w katalogach przeznaczonych na multimedia i pliki tymczasowe, np. images, media lub tmp.

Co zrobić w przypadku wykrycia infekcji?

Jeśli zauważysz powyższe ślady na swojej stronie, oznacza to, że prawdopodobnie doszło do incydentu bezpieczeństwa. W takim przypadku:

  1. Zabezpiecz logi i pliki do dalszej analizy powłamaniowej.
  2. Przywróć czystą kopię zapasową strony sprzed momentu infekcji, a następnie natychmiast wgraj najnowszą poprawkę bezpieczeństwa.

Bądźcie bezpieczni i nie zwlekajcie z aktualizacjami!