Разработчики популярной системы управления контентом Joomla! выпустили серию из десяти бюллетеней безопасности, объединённых общей датой 26 мая 2026 года. Эти обновления закрывают критические и средние по степени опасности уязвимости, затрагивающие версии 6.x до 6.1.1, а также все версии ниже 5.4.6. Событие носит массовый характер - в одной волне устранены проблемы, которые позволяют злоумышленнику обходить двухфакторную аутентификацию, повышать свои привилегии в системе и выполнять межсайтовые сценарии (XSS). Учитывая популярность Joomla! среди владельцев небольших и средних сайтов, пренебрежение обновлением может привести к серьёзным последствиям для конфиденциальности данных и целостности ресурсов.
Детали уязвимостей
Первая группа уязвимостей связана с механизмом многофакторной аутентификации (MFA). Две независимые проблемы, зарегистрированные под идентификаторами CVE-2026-48896 и CVE-2026-48897, получили высокий рейтинг опасности - 8,2 балла по шкале CVSS 4.0. Суть обеих в том, что недостаточная проверка состояния сессии позволяет атакующему полностью обойти второй фактор. Иными словами, если на сайте включена двухфакторная аутентификация, злоумышленник может войти в учётную запись жертвы, используя только логин и пароль, - без необходимости вводить одноразовый код из приложения или SMS. Такая брешь особенно критична для административных панелей, где от имени взломанного пользователя можно получить полный контроль над сайтом.
Ещё три уязвимости с рейтингом 8,2 балла (CVE-2026-48898, CVE-2026-48904 и CVE-2026-48899) относятся к категории повышения привилегий. Первая из них связана с неправильной проверкой доступа в пакетной задаче компонента com_users. Вторая - с веб-сервисными конечными точками для редактирования групп пользователей. Третья - с некорректным контролем доступа в плагинах с демонстрационными данными. Все три позволяют злоумышленнику без прав администратора изменить свои права в системе, например, перевести обычного пользователя в группу суперадминистраторов. Как только это происходит, сайт оказывается под полным контролем зловреда.
Средний уровень опасности (6,4 балла) получила уязвимость CVE-2026-48900 в компоненте com_scheduler. Эта проблема позволяет пользователям с низкими привилегиями редактировать типы задач планировщика. Хотя атакующему сначала нужно получить доступ к панели управления, возможность изменить задачу может привести к выполнению произвольного кода. В сочетании с другими уязвимостями риск возрастает.
Особого внимания заслуживает уязвимость CVE-2026-48902, связанная с понижением уровня шифрования канала передачи данных. Если на сайте не был явно установлен флаг Force SSL (принудительное использование HTTPS), то ссылки для сброса пароля и имени пользователя формировались как обычные HTTP-ссылки, даже при подключении через защищённое соединение. Это означает, что секретные токены для восстановления доступа могли перехватываться злоумышленником, стоящим на пути передачи данных (атака типа "человек посередине"). В результате он мог получить контроль над учетной записью, не зная пароля.
Ещё две средние уязвимости (CVE-2026-48903 и CVE-2026-48905) имеют рейтинг 6,9 балла и относятся к межсайтовому скриптингу (XSS - атака, при которой злоумышленник внедряет вредоносный код в веб-страницу, выполняемый в браузере жертвы). Они обнаружены в пакете фильтрации фреймворка Joomla!. Из-за недостаточной проверки содержимого атрибутов HTML атакующий мог внедрить JavaScript-код в страницы, которые просматривают другие пользователи. Это классический вектор для кражи сессионных cookie или перенаправления на фишинговые ресурсы.
Уязвимость CVE-2026-48901 формально не получила оценки по CVSS, но тоже требует внимания. Она связана с неправильным построением ключа кэша для объектов InputFilter. Пропущенный параметр безопасности мог привести к тому, что экземпляры фильтров возвращались неверные, что потенциально открывает путь для обхода фильтрации ввода.
Стоит отметить, что перечисленные проблемы затрагивают не только ядро CMS, но и отдельный пакет фреймворка Joomla! Filter, версии с 1.0.0 по 3.0.5 и 4.0.0 - 4.0.1. Разработчики уже выпустили исправленные версии: для ветки 6.x - сборка 6.1.1, для ветки 5.x - сборка 5.4.6. Также обновлён пакет фильтрации.
Что это означает для администраторов сайтов на Joomla!? В первую очередь - необходимость немедленно обновить систему до указанных версий. Промедление грозит тем, что сайт может быть взломан через одну из описанных уязвимостей, особенно если на нём не настроено дополнительное ограничение доступа. Учитывая, что в бюллетенях упомянуты и атаки типа CSRF (межсайтовая подделка запросов), злоумышленник может заставить администратора выполнить нежелательные действия от его имени.
К сожалению, данные бюллетени не содержат информации о том, были ли зафиксированы случаи реальной эксплуатации этих проблем в дикой природе. Однако высокая оценка опасности и количество закрытых CVE указывают на то, что атакующие могли целенаправленно искать подобные векторы. Поэтому стандартная рекомендация остаётся неизменной: обновить Joomla! до актуальных версий 6.1.1 или 5.4.6 как можно скорее, а также проверить версию фреймворка Filter (должна быть 3.0.6 или 4.0.2). Подробные патчи и описание каждого бюллетеня доступны в центре безопасности разработчиков Joomla! по ссылкам из официального уведомления.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-48896
- https://www.cve.org/CVERecord?id=CVE-2026-48897
- https://www.cve.org/CVERecord?id=CVE-2026-48898
- https://www.cve.org/CVERecord?id=CVE-2026-48899
- https://www.cve.org/CVERecord?id=CVE-2026-48900
- https://www.cve.org/CVERecord?id=CVE-2026-48901
- https://www.cve.org/CVERecord?id=CVE-2026-48902
- https://www.cve.org/CVERecord?id=CVE-2026-48903
- https://www.cve.org/CVERecord?id=CVE-2026-48904
- https://www.cve.org/CVERecord?id=CVE-2026-48905
