2026 júniusában egy rendkívül súlyos, 10.0-ás CVSS pontszámú sebezhetőséget azonosítottak a JCE (Joomla Content Editor) bővítményben, amely a Joomla tartalomkezelő rendszer egyik legnépszerűbb WYSIWYG szerkesztője. A hibát a Widget Factory fejlesztőcsapat JCE terméke tartalmazza, és lehetővé teszi, hogy hitelesítés nélküli támadók tetszőleges PHP kódot töltsenek fel és futtassanak érintett Joomla-oldalakon.
A sebezhetőséget a CISA (Cybersecurity and Infrastructure Security Agency) 2026. június 16-án felvette a ténylegesen kihasznált sebezhetőségek (Known Exploited Vulnerabilities, KEV) katalógusába, ami megerősíti, hogy a hibát a valós életben is aktívan kihasználják.
Technikai részletek
A hiba a CWE-284: Nem megfelelő hozzáférés-vezérlés kategóriába tartozik. A JCE lehetővé teszi az adminisztrátorok számára, hogy több szerkesztőprofilt hozzanak létre, mindegyiket saját, finomhangolt jogosultságokkal — például hogy mely felhasználói csoportok tölthetnek fel fájlokat, böngészhetik a médiatárat, vagy kezelhetik a tartalmakat.
A probléma gyökere, hogy a fájlfeltöltési mechanizmus nem ellenőrzi megfelelően, hogy a kérést küldő felhasználó valóban hitelesítve és jogosultsággal rendelkezik-e az adott profil szabályai szerint, amennyiben a profil betöltése hitelesített munkamenet nélkül történik. Ennek eredményeként egy támadó — hitelesítő adatok nélkül — új szerkesztőprofilt hozhat létre, majd ezt kihasználva PHP webshellt tölthet fel egy webről elérhető könyvtárba, és azt futtathatja is.
Ez a folyamat gyakorlatilag teljes távoli kódfuttatást (Remote Code Execution, RCE) tesz lehetővé, hitelesítés és felhasználói interakció nélkül.
Miért annyira veszélyes?
A szakértők több okból is kiemelt kockázatúnak minősítik a sebezhetőséget:
- Nincs szükség hitelesítésre – a támadás bárki által indítható, aki hálózati hozzáféréssel rendelkezik az érintett Joomla-oldalhoz.
- Közvetlen út a kódfuttatáshoz – a sikeres kihasználás azonnal távoli kódfuttatást eredményez, további sebezhetőségek láncolása nélkül.
- Tömeges kihasználásra alkalmas – a Joomla-oldalak és a JCE jelenléte könnyen azonosítható automatizált szkennerekkel, kiszámítható útvonalak és HTTP-válaszminták alapján.
- Nagy támadási felület – a JCE a Joomla-ökoszisztéma jelentős részén fut, így potenciálisan több százezer weboldal érintett.
Időrend
| Dátum | Esemény |
|---|---|
| 2026. május 26. | A CVE azonosító fenntartása megtörténik |
| 2026. június 3. | Megjelenik a javított JCE 2.9.99.5 verzió |
| 2026. június 5. | A sebezhetőség nyilvánosságra kerül (CVE-2026-48907) |
| 2026. június 16. | A CISA felveszi a KEV katalógusba, megerősítve az aktív kihasználást |
| 2026. június 19. | Határidő a szövetségi (amerikai) intézmények számára a javítás telepítésére |
Az érintett verziók a JCE 1.0.0-tól 2.9.99.4-ig terjednek.
Aktív kihasználás a gyakorlatban
Phil E. Taylor biztonsági kutató (mySites.guru) szerint a támadók a sebezhetőséget arra használják, hogy egy hamis, rosszindulatú szerkesztőprofilt importáljanak, majd ezen keresztül webshellt telepítsenek, ami tartós, hátsó ajtón keresztüli hozzáférést biztosít a kompromittált szerverhez.
Javasolt intézkedések
Amennyiben egy Joomla-alapú weboldal a JCE bővítményt használja, az alábbi lépések azonnali végrehajtása javasolt:
- Azonnali frissítés – a JCE frissítése a 2.9.99.5 vagy újabb verzióra, függetlenül a Joomla core verziójától.
- Kompromittáció ellenőrzése – a webszerver naplóinak átvizsgálása a JCE feltöltési útvonalaira (pl.
/index.php?option=com_jce&task=...) irányuló POST-kérések után kutatva, valamint a médiakönyvtárak átvizsgálása gyanús, nemrég módosított PHP-fájlok után. - Szerkesztőprofilok auditálása – minden JCE-profil feltöltési engedélyeinek felülvizsgálata, a végrehajtható fájltípusok (.php, .pht, .phtml, .shtml, .php5, .php7, .phar, .inc stb.) kizárása még hitelesített felhasználók esetén is.
- Feltöltési célkönyvtárak korlátozása – ahol lehetséges, a feltöltéseket a webroot-on kívüli könyvtárakba célszerű irányítani.
.htaccess védelem a frissítés alkalmazásáig
Az alábbi Rewrite szabály, melyet a .htaccess fájlba lehet helyezni, letiltja a hozzáférést a kompromittált modulhoz:
<IfModule mod_rewrite.c>
RewriteEngine On
# --------------------------------------------------------------------
# 1) Block unauthenticated / suspicious requests to JCE component
# endpoints that are used to create editor profiles or upload files.
# The exploit chain abuses com_jce upload/profile task requests.
# --------------------------------------------------------------------
RewriteCond %{QUERY_STRING} option=com_jce [NC]
RewriteCond %{QUERY_STRING} task=upload|task=plugin|task=profile [NC]
RewriteCond %{HTTP_COOKIE} !joomla_user_state=logged_in [NC]
RewriteRule ^ - [F,L]
# Belt-and-braces: block direct POSTs to common JCE ajax/upload endpoints
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} /(components|plugins)/(com_jce|editors-xtd_jce|jce)/.*(upload|profiles?)\.php [NC]
RewriteRule ^ - [F,L]
</IfModule>
Összegzés
A CVE-2026-48907 tankönyvi példája annak, hogyan válhat egy önmagában hasznos funkció — a rugalmas, testreszabható jogosultságkezelés — kritikus biztonsági kockázattá, ha a hozzáférés-ellenőrzés implementációja hiányos. Tekintettel a maximális súlyossági pontszámra és a megerősített, aktív kihasználásra, minden Joomla-üzemeltetőnek, aki a JCE bővítményt használja, haladéktalanul frissítenie kell a rendszerét, és el kell végeznie a kompromittáció utáni ellenőrzést is.
2026-07-03