CRITICAL🚩 CISA KEV✓ PATCH🇬🇧 English

CVE-2026-48907

Krytyczna podatność JCE dla Joomla — nieuwierzytelniony upload i wykonanie kodu PHP

CVSS 10.0v4.0pub. 2026-06-05upd. 2026-06-16

Podatność w rozszerzeniu JCE (JCE Editor) dla Joomla umożliwia nieuwierzytelnionym użytkownikom tworzenie nowych profili edytora, co prowadzi do przesłania i wykonania złośliwego kodu PHP. Ocena CVSS 10.0 (CRITICAL) wskazuje na maksymalne ryzyko — atakujący nie potrzebuje żadnych uprawnień ani interakcji ze strony użytkownika.

Pokaż oryginał (EN)

A vulnerability in the JCE editor extension for Joomla allows the creation of new editor profiles for unauthenticated users, ultimately resulting in PHP code upload and execution.

🤖 Analiza AI
Jak działa

Błąd wynika z nieprawidłowej kontroli dostępu (CWE-284) w mechanizmie zarządzania profilami edytora JCE. Nieuwierzytelniony atakujący może wysłać odpowiednio spreparowane żądanie do aplikacji i utworzyć nowy profil edytora bez posiadania konta w systemie. Następnie, korzystając z tak utworzonego profilu, jest w stanie przesłać plik PHP na serwer i doprowadzić do jego wykonania — co w praktyce oznacza uzyskanie zdalnego wykonania kodu (RCE) na serwerze hostującym aplikację Joomla.

Skutki

Atakujący może uzyskać pełną kontrolę nad serwerem poprzez zdalne wykonanie kodu PHP (RCE), co umożliwia kradzież danych, instalację backdoorów, lateral movement w sieci oraz całkowite przejęcie aplikacji i systemu operacyjnego.

Mitygacja

Należy niezwłocznie zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi na stronie https://www.joomlacontenteditor.net/. Do czasu aktualizacji zaleca się wyłączenie rozszerzenia JCE lub ograniczenie dostępu do instancji Joomla na poziomie firewall/serwera WWW. Należy również sprawdzić logi serwera pod kątem nieautoryzowanych żądań tworzenia profili edytora oraz obecności podejrzanych plików PHP w katalogach aplikacji.

Kogo dotyczy

Rozszerzenie JCE Editor dla systemu CMS Joomla — dokładne wersje wskazane w referencjach producenta (https://www.joomlacontenteditor.net/)

Uwagi

Wektor CVSS zawiera parametr E:A (exploit Attacked/Active), co sugeruje istnienie aktywnego exploita w momencie publikacji CVE. Mimo to pole CISA KEV wskazuje NIE, dlatego pole czy_exploitowany ustawiono na false zgodnie z instrukcją. Administratorzy powinni traktować tę podatność priorytetowo ze względu na brak wymagań uwierzytelnienia i maksymalną ocenę CVSS 10.0.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:A/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:Y/R:X/V:X/RE:X/U:Red

CISA KEV — szczegółyi

Dostawcai
Widget Factory
Produkti
Joomla Content Editor
Data dodania do KEVi
16 czerwca 2026
Termin remediation (USA)i
19 czerwca 2026(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami dostawcy, zapewniając zgodność ze wskazówkami CISA BOD 26-04 Prioritizing Security Updates Based on Risk (patrz adres URL w Notes) i wytycznymi CISA "Forensics Triage Requirements" (patrz adres URL w Notes). Postępuj zgodnie z odpowiednimi wytycznymi BOD 26-04 dla usług chmurowych lub zaprzestań korzystania z produktu, jeśli mitygacje są niedostępne. Interesariusze są odpowiedzialni za ocenę ekspozycji każdego zasobu na internet i zapewnienie zgodności z wytycznymi dotyczącymi łatania BOD 26-04.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations in accordance with vendor instructions, ensuring compliance with CISA’s BOD 26-04 Prioritizing Security Updates Based on Risk (see URL in Notes) guidance and CISA’s “Forensics Triage Requirements” (see URL in Notes). Follow applicable BOD 26-04 guidance for cloud services or discontinue use of the product if mitigations are unavailable. Stakeholders are responsible for evaluating each asset's internet exposure and ensuring adherence to BOD 26-04 patching guidelines.

Opis CISAi

Widget Factory Joomla Content Editor zawiera lukę w kontroli dostępu, która może umożliwić niezalogowanym użytkownikom przesłanie i wykonanie kodu PHP poprzez tworzenie nowych profili edytora.

tłumaczenie AI
Pokaż oryginał (EN)

Widget Factory Joomla Content Editor contains an improper access control vulnerability which could allow for upload and execution of PHP code via the creation of new editor profiles for unauthenticated users.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 19 czerwca 2026
CWE
Referencje