В Банке данных угроз безопасности информации (BDU) появилась запись о критической уязвимости в популярном расширении Joomla Content Editor (JCE) для системы управления контентом Joomla. Проблеме присвоен идентификатор BDU:2026-08425, а также соответствующий номер CVE-2026-48907 в международной базе Common Vulnerabilities and Exposures. Уровень опасности оценен как критический. Самое тревожное в этой ситуации - подтвержденное наличие готового эксплойта в открытом доступе.
Детали уязвимости
Уязвимость затрагивает версии JCE вплоть до 2.9.99.5 включительно. Разработчик расширения, компания Widget Factory Limited, уже выпустила обновление. Поэтому всем администраторам сайтов на Joomla следует немедленно проверить версию установленного компонента JCE и обновить его до актуальной сборки. Промедление с установкой патча может привести к полной компрометации ресурса.
Суть проблемы заключается в ошибке разграничения доступа. Согласно классификации CWE-284, речь идет о неправильном контроле доступа. На практике это означает, что злоумышленник, не обладающий никакими правами на сайте, может отправить специально сформированный запрос и выполнить произвольный код на сервере. Иными словами, атакующий получает полный контроль над системой. Он способен загрузить вредоносные файлы, изменить содержимое страниц, получить доступ к базе данных и похитить пользовательские данные, включая пароли и персональную информацию.
Базовый вектор уязвимости по системе CVSS четвертой версии составил максимальные 10 баллов из 10. Аналогично высокие оценки получены и по предыдущим версиям стандарта: 10 по CVSS 2.0 и 9,8 по CVSS 3.1. Столь высокий рейтинг объясняется комплексом факторов. Атака не требует аутентификации. Она выполняется удаленно, без физического доступа к атакуемому серверу. Сложность эксплуатации низкая, а воздействие на конфиденциальность, целостность и доступность данных оценивается как полное.
Информация о существовании эксплойта уже опубликована на нескольких ресурсах, включая GitHub и специализированные площадки по тестированию на проникновение. Это означает, что автоматизированные сканеры и боты могут начать массовый поиск уязвимых сайтов в ближайшее время. Как правило, после появления публичного эксплойта число атак резко возрастает в течение первых 48-72 часов.
Для специалистов по информационной безопасности ситуация осложняется тем, что расширение JCE является одним из самых распространенных редакторов контента для Joomla. Его используют тысячи сайтов по всему миру: от небольших блогов до корпоративных порталов и государственных интернет-ресурсов. Именно поэтому данной уязвимости присвоен статус "критический" не только в национальных базах данных, но и в международных реестрах.
Рекомендуемые меры защиты в данном случае достаточно просты и сводятся к обновлению программного обеспечения. Разработчик уже закрыл уязвимость в версии 2.9.99.5 и всех последующих. Ссылка на страницу с историей изменений и архивом обновлений приведена в официальном уведомлении BDU. Администраторам также стоит проверить, не было ли уже зафиксировано несанкционированное вмешательство в работу сайта. Признаками компрометации могут быть появление новых административных учетных записей, подозрительные файлы в корневых каталогах, аномалии в логах доступа к серверу.
В целом, данная уязвимость служит еще одним напоминанием о важности своевременного обновления компонентов информационных систем. Использование устаревших версий плагинов и модулей остается одной из самых распространенных причин успешных атак. Владельцам и администраторам сайтов на Joomla стоит внедрить процедуру регулярного мониторинга обновлений для всех установленных расширений. Желательно настроить автоматические уведомления о выходе новых версий, чтобы реагировать на угрозы максимально оперативно.
Текущий инцидент также подтверждает тенденцию к росту числа атак через популярные и проверенные расширения. Злоумышленники все чаще выбирают не саму систему управления контентом, а ее надстройки, которые зачастую получают меньше внимания со стороны специалистов по безопасности. Поэтому при выборе любого дополнения для сайта стоит отдавать предпочтение решениям от авторитетных разработчиков с хорошей историей поддержки и быстрым выпуском исправлений. В случае с Joomla Content Editor компания Widget Factory Limited выпустила патч в разумные сроки, что заслуживает положительной оценки.
Всем, кто использует Joomla и расширение JCE, следует действовать безотлагательно. Установка обновления займет не более нескольких минут, но позволит избежать потенциально катастрофических последствий. Не стоит откладывать этот шаг в долгий ящик. Атаки уже начались, и каждый день промедления увеличивает риск того, что сайт станет жертвой злоумышленников.
Ссылки
- https://bdu.fstec.ru/vul/2026-08425
- https://www.cve.org/CVERecord?id=CVE-2026-48907
- https://sploitus.com/exploit?id=34F810C9-3E08-5B0C-A381-8848015036B6
- https://github.com/ywh-jfellus/CVE-2026-48907
- https://www.joomlacontenteditor.net/support/changelog/editor
- https://pentest-tools.com/vulnerabilities-exploits/joomla-jce-extension-29995-unauthenticated-rce_29393
