Falla molto grave nell'editor JCE
-
Ciao a tutti.
Avviso chi come me ha installato l'editor JCE sui siti Joomla riguardo una falla molto critica:
-
La vulnerabilità recente (Giugno 2026)
Codice: CVE-2026-48907 (con gravità massima CVSS 10.0)
Da quanto è nota: È di dominio pubblico e sotto sfruttamento attivo in rete da metà giugno 2026 (gli avvisi ufficiali dei CSIRT, tra cui il CSIRT-ITA, sono stati emessi il 15 giugno 2026).
Cosa fa: Permette a un attaccante remoto non autenticato di importare profili editor fasulli ed eseguire codice arbitrario (RCE) sul server, caricando file PHP malevoli.
Versioni impattate: Tutte le versioni precedenti alla 2.9.99.5.
Oltre 20 dei siti che amministro sono stati attaccati e ne prossimi giorni inizierò il restore dai backup che per fortuna faccio sempre con Akeeba.
Da notare che l'intrusione ha riguardato Joomla 3.9, 3.10, 4.x e 5.x con tutte versioni di PHP e su provider diversi (Aruba, Register, Siteground).Una bella gatta da pelare.
Ettore
-
-
ciao, ti sei accorto dai profili o da cosa?
-
Entrando in ogni articolo era spartito l'editor JCE. Poi ho visto dei nuovi profili JCE......e poi entrando in FTP sul server ho trovato tanti files che non avevo aggiunto io. L'intrusione è iniziata dal 10 Giugno.
Ettore
-
Grazie, ho diversi siti con jce, ora aggiornato all'ultima versione, ho fatto verifiche simili alle tue e fortunatamente non ho visto profili e/o files strani, salvo un aumento anomalo del traffico
-
A me hanno bucato due siti con sta falla jce
Uno joomla 4 l'ho rifatto oggi, partendo da un backup pulito così sono pure passato j 6.1.1
l'altro attendo perchè sarà da rifare completamente (joomla 3)Da quel poco che ho capito, una volta bucati, i tizi condividono l'url con altri in modo che ognuno posssa fare le iniezioni che crede:
Un sito aveva links ad amazon (credo si possa tracciare il referrer per capire chi intasca i soldini ma dubito che amazon si sbatta per una cosa del genere), l'altro a un casino on line
