Bezpečnostní upozornění k JCE
Pokud jste ode mne dostali e-mail, který vás odkázal na tuto stránku, pak proto, že váš web zřejmě používá zastaralou verzi pluginu Joomla Content Editor (JCE). Tato stránka vysvětluje, proč na tom záleží a jak to opravit.
Toto upozornění se týká CVE-2026-48907, kritické (CVSS 10.0), aktivně zneužívané zranitelnosti, která umožňuje neautentizované vzdálené spuštění kódu. Postihuje verze JCE 1.0.0 až 2.9.99.4 a je opravena ve verzi 2.9.99.5, s dalším zpevněním ve verzi 2.9.99.6. Pokud používáte dotčenou verzi, aktualizujte co nejdříve na JCE 2.9.99.6 (viz Jak aktualizovat níže).
Je tato zpráva důvěryhodná?
Ano. Jde o upozornění v dobré víře podle zásad zodpovědného zveřejňování od nezávislého bezpečnostního výzkumníka. Nežádám vás o peníze, hesla ani přístup k vašemu webu a nepokoušel jsem se do něj proniknout ani cokoli zneužít.
Pouze jsem se podíval na veřejně viditelné soubory, které váš web poskytuje každému návštěvníkovi (stejně jako je veřejná vaše úvodní stránka), a zaznamenal jsem číslo verze, které plugin JCE v těchto souborech zveřejňuje. Nic na této kontrole se nedotýká vašich dat, vaší administrace ani žádné soukromé části vašeho webu.
Pokud si chcete ověřit, kdo jsem, podívejte se na kontaktní údaje v dolní části této stránky a na stránku O této stránce.
Proč na tom záleží
Joomla Content Editor je velmi rozšířený editorový plugin pro redakční systém Joomla. Starší vydání obsahují známé bezpečnostní zranitelnosti. Útočníci aktivně prohledávají internet a hledají weby používající tyto zastaralé verze a častým výsledkem je přepsání obsahu webu (defacement): vaše stránky nahradí nebo pozmění někdo, kdo by k nim neměl mít přístup.
Protože jsou zranitelné verze dobře zdokumentované a snadno dohledatelné, nejde o teoretické riziko. Dobrou zprávou je, že náprava je jednoduchá a aktualizace tuto díru uzavře.
Jak zkontrolovat svou verzi
Nemusíte mi věřit, jakou verzi používáte. Pokud máte přístup do administrace Joomly:
- Přihlaste se do administrace Joomly (obvykle na adrese
vasedomena.cz/administrator). - Přejděte na Systém poté Správa poté Rozšíření (nebo Rozšíření poté Správa, podle verze vaší Joomly).
- Vyhledejte JCE a poznamenejte si nainstalovanou verzi.
Porovnejte ji s nejnovějším vydáním na oficiálním webu JCE (viz níže). Pokud je vaše starší, měli byste aktualizovat.
Jak aktualizovat
Nejbezpečnější cestou je aktualizace přímo přes Joomlu, a to po předchozí záloze:
- Zazálohujte svůj web (soubory a databázi) před provedením změn. Většina poskytovatelů hostingu nabízí zálohy na jedno kliknutí, případně použijte zálohovací rozšíření pro Joomlu.
- V administraci Joomly otevřete Rozšíření poté Správa poté Aktualizace a klikněte na Najít aktualizace. Pokud je aktualizace JCE uvedena, nainstalujte ji odsud.
- Pokud se tam žádná aktualizace neobjeví, stáhněte si nejnovější vydání přímo z oficiálního projektu JCE na https://www.joomlacontenteditor.net a nainstalujte je přes Rozšíření poté Instalovat.
- Po aktualizaci potvrďte nové číslo verze podle výše uvedených kroků a zkontrolujte, že se váš web běžně načítá a upravuje.
Když už jste u toho, vyplatí se ověřit, že je aktuální i samotná Joomla a vaše ostatní rozšíření, protože stejná zásada platí pro všechna.
Nemám webmastera / nevím si rady
Pokud nejste tou osobou, která web spravuje, přepošlete prosím tuto stránku tomu, kdo to dělá (vašemu vývojáři webu, agentuře nebo poskytovateli hostingu). Výše uvedené kroky rychle rozpozná.
Pokud web spravujete sami a zaseknete se, rád vám zdarma pomohu nasměrovat se správným směrem. Ozvěte se pomocí kontaktních údajů níže.
Kontakt
Evan Harris, bezpečnostní výzkumník
- E-mail: security@mail.mcpsec.dev
- X: @Evan__Harris
- GitHub: eharris128
Na provozovatele se s problémy, jako je tento, obracím výhradně proto, abych jim pomohl zabezpečit jejich weby. Pokud si nepřejete být znovu kontaktováni, stačí mi to sdělit a budu to respektovat.
Zdroje
Oficiální upozornění a evidence
- Záznam v NVD (CVE-2026-48907)
- Záznam MITRE CVE
- GitHub Advisory Database (GHSA-c3f5-4g7f-qjqj)
- Upozornění CISA na známé zneužívané zranitelnosti (16. června 2026)
Dodavatel (Joomla Content Editor)
Zpravodajství