Aviso de seguridad de JCE
Si recibió un correo electrónico mío que le remite a esta página, es porque su sitio web parece estar ejecutando una versión desactualizada del plugin Joomla Content Editor (JCE). Esta página explica por qué importa y cómo corregirlo.
Este aviso se refiere a CVE-2026-48907, una vulnerabilidad crítica (CVSS 10.0), explotada activamente, que permite la ejecución remota de código sin autenticación. Afecta a las versiones de JCE 1.0.0 hasta 2.9.99.4 y está corregida en 2.9.99.5, con un refuerzo adicional en 2.9.99.6. Si está ejecutando una versión afectada, actualice a JCE 2.9.99.6 lo antes posible (consulte Cómo actualizar más abajo).
¿Es legítimo este mensaje?
Sí. Se trata de un aviso de buena fe, según el principio de la divulgación responsable, de un investigador de seguridad independiente. No le pido dinero, contraseñas ni acceso a su sitio, y no he intentado entrar en él ni explotar nada.
Lo único que hice fue mirar archivos visibles públicamente que su sitio web ofrece a cada visitante (del mismo modo que su página de inicio es pública) y anotar el número de versión que el plugin JCE publica en esos archivos. Nada en esta comprobación toca sus datos, su área de administración ni ninguna parte privada de su sitio.
Si desea verificar quién soy, consulte los datos de contacto al final de esta página y la página Acerca de.
Por qué importa
El Joomla Content Editor es un plugin de edición muy utilizado para el sistema de gestión de contenidos Joomla. Las versiones más antiguas contienen vulnerabilidades de seguridad conocidas. Los atacantes rastrean activamente internet en busca de sitios que ejecutan estas versiones desactualizadas, y un resultado habitual es el desfiguración del sitio web: sus páginas son reemplazadas o alteradas por alguien que no debería tener acceso.
Dado que las versiones vulnerables están bien documentadas y son fáciles de encontrar, este no es un riesgo teórico. La buena noticia es que se corrige de forma sencilla, y actualizar cierra el agujero.
Cómo comprobar su versión
No tiene que creer en mi palabra sobre qué versión está ejecutando. Si tiene acceso a su área de administración de Joomla:
- Inicie sesión en la administración de Joomla (normalmente en
sudominio.com/administrator). - Vaya a Sistema luego Gestionar luego Extensiones (o Extensiones luego Gestionar, según su versión de Joomla).
- Busque JCE y anote la versión instalada.
Compárela con la última versión en el sitio oficial de JCE (véase más abajo). Si la suya es más antigua, debería actualizar.
Cómo actualizar
La vía más segura es actualizar a través del propio Joomla, y hacer antes una copia de seguridad:
- Haga una copia de seguridad de su sitio (archivos y base de datos) antes de realizar cambios. La mayoría de los proveedores de alojamiento ofrecen copias de seguridad con un solo clic, o use una extensión de copia de seguridad de Joomla.
- En la administración de Joomla, abra Extensiones luego Gestionar luego Actualizar y haga clic en Buscar actualizaciones. Si aparece una actualización de JCE, instálela desde aquí.
- Si no aparece ninguna actualización allí, descargue la última versión directamente del proyecto oficial de JCE en https://www.joomlacontenteditor.net e instálela mediante Extensiones luego Instalar.
- Después de actualizar, confirme el nuevo número de versión con los pasos anteriores y compruebe que su sitio carga y se edita con normalidad.
Ya que está en ello, conviene confirmar que el propio Joomla y sus demás extensiones están actualizados, ya que el mismo principio se aplica a todos ellos.
No tengo webmaster / estoy atascado
Si usted no es la persona que mantiene el sitio, reenvíe esta página a quien lo haga (su desarrollador web, agencia o proveedor de alojamiento). Reconocerán los pasos anteriores con rapidez.
Si mantiene el sitio usted mismo y se atasca, con gusto le ayudo a orientarse en la dirección correcta sin coste alguno. Póngase en contacto usando los datos de abajo.
Contacto
Evan Harris, investigador de seguridad
- Correo electrónico: security@mail.mcpsec.dev
- X: @Evan__Harris
- GitHub: eharris128
Me pongo en contacto por problemas como este únicamente para ayudar a los operadores a asegurar sus sitios. Si prefiere que no se le vuelva a contactar, simplemente dígamelo y lo respetaré.
Referencias
Avisos oficiales y seguimiento
- Entrada de NVD (CVE-2026-48907)
- Registro CVE de MITRE
- GitHub Advisory Database (GHSA-c3f5-4g7f-qjqj)
- Alerta de vulnerabilidades explotadas conocidas de CISA (16 de junio de 2026)
Proveedor (Joomla Content Editor)
Cobertura periodística