JCE-Sicherheitshinweis
Wenn Sie eine E-Mail von mir erhalten haben, die Sie auf diese Seite verweist, dann deshalb, weil Ihre Website offenbar eine veraltete Version des Plugins Joomla Content Editor (JCE) einsetzt. Diese Seite erklärt, warum das wichtig ist und wie Sie es beheben.
Dieser Hinweis betrifft CVE-2026-48907, eine kritische (CVSS 10.0), aktiv ausgenutzte Schwachstelle, die eine nicht authentifizierte Remote-Code-Ausführung ermöglicht. Sie betrifft die JCE-Versionen 1.0.0 bis 2.9.99.4 und ist in 2.9.99.5 behoben, mit zusätzlicher Härtung in 2.9.99.6. Wenn Sie eine betroffene Version einsetzen, aktualisieren Sie so bald wie möglich auf JCE 2.9.99.6 (siehe So aktualisieren Sie weiter unten).
Ist diese Nachricht seriös?
Ja. Dies ist ein Hinweis nach Treu und Glauben im Sinne der verantwortungsvollen Offenlegung von einem unabhängigen Sicherheitsforscher. Ich bitte Sie nicht um Geld, Passwörter oder Zugang zu Ihrer Website, und ich habe nicht versucht, in sie einzudringen oder etwas auszunutzen.
Ich habe lediglich öffentlich sichtbare Dateien betrachtet, die Ihre Website jedem Besucher bereitstellt (so wie auch Ihre Startseite öffentlich ist), und die Versionsnummer notiert, die das JCE-Plugin in diesen Dateien veröffentlicht. Nichts an dieser Prüfung berührt Ihre Daten, Ihren Administrationsbereich oder irgendeinen privaten Teil Ihrer Website.
Wenn Sie überprüfen möchten, wer ich bin, sehen Sie sich die Kontaktdaten am Ende dieser Seite und die Über-Seite an.
Warum das wichtig ist
Der Joomla Content Editor ist ein sehr weit verbreitetes Editor-Plugin für das Content-Management-System Joomla. Ältere Versionen enthalten bekannte Sicherheitslücken. Angreifer durchsuchen das Internet aktiv nach Websites, die diese veralteten Versionen einsetzen, und ein häufiges Ergebnis ist die Verunstaltung der Website (Defacement): Ihre Seiten werden von jemandem ersetzt oder verändert, der keinen Zugang haben sollte.
Da die verwundbaren Versionen gut dokumentiert und leicht auffindbar sind, ist dies kein theoretisches Risiko. Die gute Nachricht: Es lässt sich unkompliziert beheben, und ein Update schließt die Lücke.
So prüfen Sie Ihre Version
Sie müssen mir nicht glauben, welche Version Sie einsetzen. Wenn Sie Zugang zu Ihrem Joomla-Administrationsbereich haben:
- Melden Sie sich in Ihrer Joomla-Administration an (üblicherweise unter
ihredomain.de/administrator). - Gehen Sie zu System dann Verwalten dann Erweiterungen (oder Erweiterungen dann Verwalten, je nach Joomla-Version).
- Suchen Sie nach JCE und notieren Sie die installierte Version.
Vergleichen Sie diese mit der aktuellen Version auf der offiziellen JCE-Website (siehe unten). Wenn Ihre Version älter ist, sollten Sie aktualisieren.
So aktualisieren Sie
Der sicherste Weg ist die Aktualisierung über Joomla selbst, und zwar nach einer Sicherung:
- Sichern Sie Ihre Website (Dateien und Datenbank), bevor Sie Änderungen vornehmen. Die meisten Hosting-Anbieter bieten Ein-Klick-Sicherungen an, oder Sie verwenden eine Joomla-Backup-Erweiterung.
- Öffnen Sie in der Joomla-Administration Erweiterungen dann Verwalten dann Aktualisieren und klicken Sie auf Updates suchen. Wenn ein JCE-Update aufgeführt ist, installieren Sie es von hier aus.
- Wenn dort kein Update erscheint, laden Sie die aktuelle Version direkt vom offiziellen JCE-Projekt unter https://www.joomlacontenteditor.net herunter und installieren Sie sie über Erweiterungen dann Installieren.
- Bestätigen Sie nach dem Update die neue Versionsnummer anhand der obigen Schritte und prüfen Sie, ob Ihre Website normal lädt und sich bearbeiten lässt.
Wenn Sie schon dabei sind, lohnt es sich zu bestätigen, dass Joomla selbst und Ihre übrigen Erweiterungen aktuell sind, denn dasselbe Prinzip gilt für alle.
Ich habe keinen Webmaster / ich komme nicht weiter
Wenn Sie nicht die Person sind, die die Website betreut, leiten Sie diese Seite bitte an diejenige Person weiter, die das tut (Ihr Webentwickler, Ihre Agentur oder Ihr Hosting-Anbieter). Sie wird die obigen Schritte schnell wiedererkennen.
Wenn Sie die Website selbst betreuen und nicht weiterkommen, helfe ich Ihnen gerne kostenlos, in die richtige Richtung zu finden. Melden Sie sich über die Kontaktdaten unten.
Kontakt
Evan Harris, Sicherheitsforscher
- E-Mail: security@mail.mcpsec.dev
- X: @Evan__Harris
- GitHub: eharris128
Ich wende mich bei Problemen wie diesem ausschließlich deshalb an Betreiber, um ihnen zu helfen, ihre Websites abzusichern. Wenn Sie nicht erneut kontaktiert werden möchten, teilen Sie mir das einfach mit, und ich werde das respektieren.
Quellen
Offizielle Hinweise und Nachverfolgung
- NVD-Eintrag (CVE-2026-48907)
- MITRE-CVE-Eintrag
- GitHub Advisory Database (GHSA-c3f5-4g7f-qjqj)
- CISA-Warnung zu bekannten ausgenutzten Schwachstellen (16. Juni 2026)
Hersteller (Joomla Content Editor)
Berichterstattung