Исправление критической уязвимости в JCE, дополнении для CMS Joomla

18.06.2026 23:10 (MSK)

В JCE (Joomla Content Editor), одном из старейших и популярнейших расширений в экосистеме Joomla, устранена критическая уязвимость (CVE-2026-48907), позволяющая импортировать свой профиль без аутентификации. Атакующий может использовать уязвимость для размещения профиля, отключающего проверку MIME-типов и реализующего загрузку PHP-скриптов на сервер. Зафиксировано использование уязвимости злоумышленниками для установки webshell, предоставляющего удалённый доступ к системе.

Уязвимость устранена в выпуске JCE 2.9.99.5, следом за которым опубликовано обновление 2.9.99.6 с усилением защиты. Уязвимость затрагивает все версии JCE (от Joomla 3 до Joomla 6). После установки обновления следует удостовериться, что система не была скомпрометирована и в ней не остаётся установленный атакующими бэкдор.

Проверить наличие подставного профиля, который как правило имеет бессмысленное автоматически сгенерированное имя, можно в интерфейсе адиминистратора в секции "Компоненты" - "Редактор JCE" - "Профили редактора". Также следует удостовериться в отсутствии разрешения загрузки PHP-файлов в параметре "Разрешённые расширения файлов" и проверить логи на предмет запросов к url импорта профилей (index.php?option=com_jce&task=profiles.import). О компрометации также может свидетельствовать появление на сайте сторонних .htaccess и файлов с именами, типичными для CMS WordPress, а не Joomla, таких как wp-config.php и wp-cron.php.

исправить +1 +/–

Автор новости: sergeytolkachyov

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/65715-joomla

Ключевые слова: joomla

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (8)

1.1, Аноним (1), 23:16, 18/06/2026 [ответить]	+/–
Сначала phpBB, теперь Joomla..

2.4, Аноним (4), 23:31, 18/06/2026 [^] [^^] [^^^] [ответить]	+/–
Глаз Саурона уже рассмотрел ядро, браузеры и nginx, теперь рассматривает что осталось. На удивление, не так уж много дыр нашли

1.2, Ivan_83 (ok), 23:17, 18/06/2026 [ответить]	–1 +/–
Скучно. У меня php в RO chroot крутятся, не запишешь туда ничего. А куда записать можно - от туда оно не запустится. А после перезапуска php-fpm chroot будет пересоздан, прада это больше для атомарности обновлений, вебшелам всё равно себя в RO не записать :)

2.3, Аноним (4), 23:28, 18/06/2026 [^] [^^] [^^^] [ответить]	+/–
а зачем тебе php без бд, или у тебя бд тоже ro? и даже если и бд ro, то потырить хэши паролей и поломать их не проблема, зачем тогда ограничение какието и опять же бд.

3.5, Ivan_83 (ok), 23:54, 18/06/2026 [^] [^^] [^^^] [ответить]

+/–

А ты собрался вебшелл в БД запихать? А запускать как его будешь?

Хэши паролей где 8+ буков+цифер+спецсимволов - даже 20 лет назад их солили, и ценность их нынче для нападающего скорее отрицательная.

Но БД тоже в отдельном chroot, но потому что бы её изолировать от основной системы, ибо через неё можно читать/писать файлы в системе.

В общем не сказать чтобы на 100% не пробиваемое, но от автоматических атак работает отлично.

4.6, Аноним (6), 00:03, 19/06/2026 [^] [^^] [^^^] [ответить]	+/–
у этого бота пароли до сих пор мд5 похешированы

5.7, Ivan_83 (ok), 00:20, 19/06/2026 [^] [^^] [^^^] [ответить]	+/–
HMAC-MD5 до сих пор считается надёжной конструкцией. Хотя применительно к хранению солёных хэшей она слишком быстро считается :)

1.8, Аноним (8), 01:18, 19/06/2026 [ответить]	+/–
Пыхапе Этим кто то еще пользуется?

Добавить комментарий

Текст: