CVE-2026-48907: Kritikus biztonsági rés a Joomla JCE szerkesztőbővítményben

2026 júniusában egy rendkívül súlyos, 10.0-ás CVSS pontszámú sebezhetőséget azonosítottak a JCE (Joomla Content Editor) bővítményben, amely a Joomla tartalomkezelő rendszer egyik legnépszerűbb WYSIWYG szerkesztője. A hibát a Widget Factory fejlesztőcsapat JCE terméke tartalmazza, és lehetővé teszi, hogy hitelesítés nélküli támadók tetszőleges PHP kódot töltsenek fel és futtassanak érintett Joomla-oldalakon.

A sebezhetőséget a CISA (Cybersecurity and Infrastructure Security Agency) 2026. június 16-án felvette a ténylegesen kihasznált sebezhetőségek (Known Exploited Vulnerabilities, KEV) katalógusába, ami megerősíti, hogy a hibát a valós életben is aktívan kihasználják.

Technikai részletek

A hiba a CWE-284: Nem megfelelő hozzáférés-vezérlés kategóriába tartozik. A JCE lehetővé teszi az adminisztrátorok számára, hogy több szerkesztőprofilt hozzanak létre, mindegyiket saját, finomhangolt jogosultságokkal — például hogy mely felhasználói csoportok tölthetnek fel fájlokat, böngészhetik a médiatárat, vagy kezelhetik a tartalmakat.

A probléma gyökere, hogy a fájlfeltöltési mechanizmus nem ellenőrzi megfelelően, hogy a kérést küldő felhasználó valóban hitelesítve és jogosultsággal rendelkezik-e az adott profil szabályai szerint, amennyiben a profil betöltése hitelesített munkamenet nélkül történik. Ennek eredményeként egy támadó — hitelesítő adatok nélkül — új szerkesztőprofilt hozhat létre, majd ezt kihasználva PHP webshellt tölthet fel egy webről elérhető könyvtárba, és azt futtathatja is.

Ez a folyamat gyakorlatilag teljes távoli kódfuttatást (Remote Code Execution, RCE) tesz lehetővé, hitelesítés és felhasználói interakció nélkül.

Miért annyira veszélyes?

A szakértők több okból is kiemelt kockázatúnak minősítik a sebezhetőséget:

  • Nincs szükség hitelesítésre – a támadás bárki által indítható, aki hálózati hozzáféréssel rendelkezik az érintett Joomla-oldalhoz.
  • Közvetlen út a kódfuttatáshoz – a sikeres kihasználás azonnal távoli kódfuttatást eredményez, további sebezhetőségek láncolása nélkül.
  • Tömeges kihasználásra alkalmas – a Joomla-oldalak és a JCE jelenléte könnyen azonosítható automatizált szkennerekkel, kiszámítható útvonalak és HTTP-válaszminták alapján.
  • Nagy támadási felület – a JCE a Joomla-ökoszisztéma jelentős részén fut, így potenciálisan több százezer weboldal érintett.

Időrend

Dátum Esemény
2026. május 26. A CVE azonosító fenntartása megtörténik
2026. június 3. Megjelenik a javított JCE 2.9.99.5 verzió
2026. június 5. A sebezhetőség nyilvánosságra kerül (CVE-2026-48907)
2026. június 16. A CISA felveszi a KEV katalógusba, megerősítve az aktív kihasználást
2026. június 19. Határidő a szövetségi (amerikai) intézmények számára a javítás telepítésére

Az érintett verziók a JCE 1.0.0-tól 2.9.99.4-ig terjednek.

Aktív kihasználás a gyakorlatban

Phil E. Taylor biztonsági kutató (mySites.guru) szerint a támadók a sebezhetőséget arra használják, hogy egy hamis, rosszindulatú szerkesztőprofilt importáljanak, majd ezen keresztül webshellt telepítsenek, ami tartós, hátsó ajtón keresztüli hozzáférést biztosít a kompromittált szerverhez.

Javasolt intézkedések

Amennyiben egy Joomla-alapú weboldal a JCE bővítményt használja, az alábbi lépések azonnali végrehajtása javasolt:

  1. Azonnali frissítés – a JCE frissítése a 2.9.99.5 vagy újabb verzióra, függetlenül a Joomla core verziójától.
  2. Kompromittáció ellenőrzése – a webszerver naplóinak átvizsgálása a JCE feltöltési útvonalaira (pl. /index.php?option=com_jce&task=...) irányuló POST-kérések után kutatva, valamint a médiakönyvtárak átvizsgálása gyanús, nemrég módosított PHP-fájlok után.
  3. Szerkesztőprofilok auditálása – minden JCE-profil feltöltési engedélyeinek felülvizsgálata, a végrehajtható fájltípusok (.php, .pht, .phtml, .shtml, .php5, .php7, .phar, .inc stb.) kizárása még hitelesített felhasználók esetén is.
  4. Feltöltési célkönyvtárak korlátozása – ahol lehetséges, a feltöltéseket a webroot-on kívüli könyvtárakba célszerű irányítani.

.htaccess védelem a frissítés alkalmazásáig

Az alábbi Rewrite szabály, melyet a .htaccess fájlba lehet helyezni, letiltja a hozzáférést a kompromittált modulhoz:

<IfModule mod_rewrite.c>
    RewriteEngine On
    # --------------------------------------------------------------------
    # 1) Block unauthenticated / suspicious requests to JCE component
    #    endpoints that are used to create editor profiles or upload files.
    #    The exploit chain abuses com_jce upload/profile task requests.
    # --------------------------------------------------------------------
    RewriteCond %{QUERY_STRING} option=com_jce [NC]
    RewriteCond %{QUERY_STRING} task=upload|task=plugin|task=profile [NC]
    RewriteCond %{HTTP_COOKIE} !joomla_user_state=logged_in [NC]
    RewriteRule ^ - [F,L]
 
    # Belt-and-braces: block direct POSTs to common JCE ajax/upload endpoints
    RewriteCond %{REQUEST_METHOD} POST
    RewriteCond %{REQUEST_URI} /(components|plugins)/(com_jce|editors-xtd_jce|jce)/.*(upload|profiles?)\.php [NC]
    RewriteRule ^ - [F,L]
</IfModule>

Összegzés

A CVE-2026-48907 tankönyvi példája annak, hogyan válhat egy önmagában hasznos funkció — a rugalmas, testreszabható jogosultságkezelés — kritikus biztonsági kockázattá, ha a hozzáférés-ellenőrzés implementációja hiányos. Tekintettel a maximális súlyossági pontszámra és a megerősített, aktív kihasználásra, minden Joomla-üzemeltetőnek, aki a JCE bővítményt használja, haladéktalanul frissítenie kell a rendszerét, és el kell végeznie a kompromittáció utáni ellenőrzést is.