[TLP:CLEAR] JCE opravuje kritickou aktivně zneužívanou zranitelnost
CISA zařadila kritickou zranitelnost (CVE-2026-48907) v Joomla Content Editor (JCE) do katalogu aktivně zneužívaných zranitelností [1]. Skript pro PoC naleznete na [2]. Produkty a jejich opravené verze: JCE - 2.9.99.5 - opravuje CVE-2026-48907 [3] JCE - 2.9.99.6 - obsahuje všeobecný codebase hardening [4] Pokud nemůžete softwarový modul JCE aktualizovat, je doporučeno ho odinstalovat [3].
Neautentizovanému vzdálenému útočníkovi je umožněno vytvářet nové profily editorů a vykonat RCE [5].
Zranitelnost se nachází v produktu JCE ve verzích <=2.9.99.4.
CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:A/AU:Y/U:Red
Více informací:
- CVE-2026-48907 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-284: Improper Access Control at cwe.mitre.org
Zranitelnost byla veřejně oznámena 5. 6. 2026.
Odkazy
- [1] https://www.cisa.gov/news-events/alerts/2026/06/16/cisa-adds-one-known-exploited-vulnerability-catalog
- [2] https://github.com/webshellseo8/CVE-2026-48907-Unauthenticated-RCE-in-JCE
- [3] https://www.joomlacontenteditor.net/news/jce-pro-2-9-99-5-released
- [4] https://www.joomlacontenteditor.net/support/changelog/editor
- [5] https://www.cve.org/CVERecord?id=CVE-2026-48907
Za CESNET-CERTS Táňa Macháčková dne 17. 6. 2026.
