Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило в свой каталог известных эксплуатируемых уязвимостей (KEV) CVE-2026-48907. Эта уязвимость затрагивает расширение Joomla Content Editor (JCE) для системы управления контентом Joomla. Основанием для включения стали данные о её активной эксплуатации в реальных атаках.
Уязвимость CVE-2026-48907
Уязвимость относится к типу CWE-284 - неправильный контроль доступа. Согласно бюллетеню, опубликованному 5 июня 2026 года, проблема присутствует в версиях JCE с 1.0.0 по 2.9.99.4 включительно. Разработчики выпустили исправление в версии 2.9.99.5. CVSS-оценка по версии 4.0 составляет 10,0 - критический уровень. Успешное использование приводит к полной компрометации не только целевой системы, но и её окружения.
Суть уязвимости заключается в отсутствии надлежащей проверки прав доступа при создании профилей редактора. Злоумышленник, не имеющий учётной записи на сайте Joomla, может отправить специально сформированный запрос к определённым функциям расширения JCE. В результате он получает возможность создать новый профиль редактора с произвольными настройками. Затем этот профиль позволяет загрузить вредоносный PHP-файл на сервер и выполнить его. Таким образом, уязвимость изначально классифицируется как недостаток контроля доступа, но её последствия напрямую ведут к выполнению произвольного PHP-кода.
Потенциальная атака может быть проведена в несколько шагов. Сначала злоумышленник отправляет HTTP-запрос к уязвимому компоненту без аутентификации. Расширение некорректно обрабатывает параметры, связанные с созданием профиля, и назначает права редактора неавторизованному пользователю. Далее через этот профиль становится возможным загрузить файл с расширением .php в директорию, доступную для исполнения веб-сервером. После загрузки атакующий обращается к файлу напрямую, что приводит к выполнению произвольных команд на сервере.
Системы под угрозой - любые сайты на Joomla, где установлен JCE версии ниже 2.9.99.5. Учитывая, что JCE является популярным расширением для редактирования контента, количество потенциально уязвимых инсталляций велико. CISA настоятельно рекомендует администраторам проверить версию расширения и немедленно обновить её до исправленной версии. Включение данной уязвимости в каталог KEV означает, что она активно используется хакерами, а значит, задержка с обновлением создаёт прямой риск взлома.
Разработчики расширения выпустили патч в версии 2.9.99.5, который закрывает неправильный контроль доступа. Владельцам сайтов необходимо зайти в панель управления Joomla, найти расширение JCE в списке и выполнить обновление. Если автоматическое обновление отключено, следует скачать последнюю версию с официального сайта или из репозитория Joomla и установить вручную. Администраторам, которые не могут немедленно установить обновление, рекомендуется временно отключить расширение JCE до применения патча, хотя это может нарушить работу редактора на сайте.
Уязвимость CVE-2026-48907 представляет собой классический пример того, как логическая ошибка в контроле доступа может трансформироваться в удалённое выполнение кода. Отсутствие патча делает сайты лёгкой целью для злоумышленников, которые уже применяют эти методы в атаках. Организациям, использующим Joomla с JCE, следует включать обновление сторонних расширений в приоритетный план устранения уязвимостей, особенно когда CISA фиксирует активную эксплуатацию.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-48907
- https://www.cisa.gov/news-events/alerts/2026/06/16/cisa-adds-one-known-exploited-vulnerability-catalog
