Исправление критической уязвимости в JCE, дополнении для CMS Joomla

18.06.2026 23:10 (MSK)

В JCE (Joomla Content Editor), одном из старейших и популярнейших расширений в экосистеме Joomla, устранена критическая уязвимость (CVE-2026-48907), позволяющая импортировать свой профиль без аутентификации. Атакующий может использовать уязвимость для размещения профиля, отключающего проверку MIME-типов и реализующего загрузку PHP-скриптов на сервер. Зафиксировано использование уязвимости злоумышленниками для установки webshell, предоставляющего удалённый доступ к системе.

Уязвимость устранена в выпуске JCE 2.9.99.5, следом за которым опубликовано обновление 2.9.99.6 с усилением защиты. Уязвимость затрагивает все версии JCE (от Joomla 3 до Joomla 6). После установки обновления следует удостовериться, что система не была скомпрометирована и в ней не остаётся установленный атакующими бэкдор.

Проверить наличие подставного профиля, который как правило имеет бессмысленное автоматически сгенерированное имя, можно в интерфейсе адиминистратора в секции "Компоненты" - "Редактор JCE" - "Профили редактора". Также следует удостовериться в отсутствии разрешения загрузки PHP-файлов в параметре "Разрешённые расширения файлов" и проверить логи на предмет запросов к url импорта профилей (index.php?option=com_jce&task=profiles.import). О компрометации также может свидетельствовать появление на сайте сторонних .htaccess и файлов с именами, типичными для CMS WordPress, а не Joomla, таких как wp-config.php и wp-cron.php.

исправить +4 +/–

Автор новости: sergeytolkachyov

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/65715-joomla

Ключевые слова: joomla

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (12)

1.1, Аноним (1), 23:16, 18/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Сначала phpBB, теперь Joomla..

2.4, Аноним (4), 23:31, 18/06/2026 [^] [^^] [^^^] [ответить]	+1 +/–
Глаз Саурона уже рассмотрел ядро, браузеры и nginx, теперь рассматривает что осталось. На удивление, не так уж много дыр нашли

3.12, Аноним (12), 11:09, 19/06/2026 [^] [^^] [^^^] [ответить]	+/–
> не так уж много дыр нашли Через неделю ситуация не изменится. И через месяц не изменится. И даже через год. Дыры будут находить новые.

2.11, sergeytolkachyov (ok), 10:30, 19/06/2026 [^] [^^] [^^^] [ответить]	+/–
JCE, не сама Joomla. Хотя в самой Joomla тоже закрывали недавно пачку дыр, хоть и не такого уровня (https://joomlaportal.ru/news/release-news/vyshli-relizy-bezopasnosti-joomla-6-). И порядок действий отличается: в Joomla Security Strike Team сначала закрывает дыры и выпускает патч, а потом уже публикуют информацию об уязвимости. А в JCE, к сожалению, не раз происходило наоборот: сначала массовые взломы, а потом только патч.

1.2, Ivan_83 (ok), 23:17, 18/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Скучно. У меня php в RO chroot крутятся, не запишешь туда ничего. А куда записать можно - от туда оно не запустится. А после перезапуска php-fpm chroot будет пересоздан, прада это больше для атомарности обновлений, вебшелам всё равно себя в RO не записать :)

2.3, Аноним (4), 23:28, 18/06/2026 [^] [^^] [^^^] [ответить]	+/–
а зачем тебе php без бд, или у тебя бд тоже ro? и даже если и бд ro, то потырить хэши паролей и поломать их не проблема, зачем тогда ограничение какието и опять же бд.

3.5, Ivan_83 (ok), 23:54, 18/06/2026 [^] [^^] [^^^] [ответить]

+2 +/–

А ты собрался вебшелл в БД запихать? А запускать как его будешь?

Хэши паролей где 8+ буков+цифер+спецсимволов - даже 20 лет назад их солили, и ценность их нынче для нападающего скорее отрицательная.

Но БД тоже в отдельном chroot, но потому что бы её изолировать от основной системы, ибо через неё можно читать/писать файлы в системе.

В общем не сказать чтобы на 100% не пробиваемое, но от автоматических атак работает отлично.

4.6, Аноним (6), 00:03, 19/06/2026 [^] [^^] [^^^] [ответить]	+1 +/–
у этого бота пароли до сих пор мд5 похешированы

5.7, Ivan_83 (ok), 00:20, 19/06/2026 [^] [^^] [^^^] [ответить]	+/–
HMAC-MD5 до сих пор считается надёжной конструкцией. Хотя применительно к хранению солёных хэшей она слишком быстро считается :)

6.10, Аноним (6), 02:02, 19/06/2026 [^] [^^] [^^^] [ответить]	+/–
> HMAC-MD5 до сих пор считается надёжной конструкцией. продолжай так же считать :)

2.14, Аноним (14), 20:19, 19/06/2026 [^] [^^] [^^^] [ответить]	+/–
Это всё хорошо, пока какой-нибудь академик не вывалится за пределы массива, помножив этим всю безопасность chroot на ноль. Security in depth. Не запускать уязвимый софт. Впрочем, для локалхоста сойдёт. Неуловимый Джо дожил до преклоных лет и умер в своей постели в окружении родных и близких. На его могиле сидела прекрасная вдова с персидскими глазами, и заплаканные дети кричали: "Папа! Папа, слышишь ли ты нас?!".

1.13, Аноним (14), 17:47, 19/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Ух! Опять кто-то возврашает мне мой 2007й. Я думал сабж и drupal остались только в музеях, ан нет, жив ещё курилка!

игнорирование участников | лог модерирования

Добавить комментарий

Текст: