Avis de sécurité JCE
Si vous avez reçu un e-mail de ma part vous renvoyant à cette page, c’est parce que votre site web semble utiliser une version obsolète du plugin Joomla Content Editor (JCE). Cette page explique pourquoi cela compte et comment y remédier.
Cet avis concerne CVE-2026-48907, une faille critique (CVSS 10.0), activement exploitée, qui permet l’exécution de code à distance sans authentification. Elle affecte les versions de JCE 1.0.0 à 2.9.99.4 et est corrigée dans 2.9.99.5, avec un renforcement supplémentaire dans 2.9.99.6. Si vous utilisez une version concernée, mettez à jour vers JCE 2.9.99.6 dès que possible (voir Comment mettre à jour ci-dessous).
Ce message est-il légitime ?
Oui. Il s’agit d’un avis de bonne foi, selon le principe de la divulgation responsable, émanant d’un chercheur en sécurité indépendant. Je ne vous demande pas d’argent, de mots de passe ni d’accès à votre site, et je n’ai pas tenté de m’y introduire ni d’exploiter quoi que ce soit.
Je n’ai fait que consulter des fichiers publiquement visibles que votre site web fournit à chaque visiteur (de la même manière que votre page d’accueil est publique) et noter le numéro de version que le plugin JCE publie dans ces fichiers. Rien dans cette vérification ne touche à vos données, à votre zone d’administration ni à aucune partie privée de votre site.
Si vous souhaitez vérifier qui je suis, consultez les coordonnées au bas de cette page et la page À propos.
Pourquoi cela compte
Le Joomla Content Editor est un plugin d’édition très largement utilisé pour le système de gestion de contenu Joomla. Les versions plus anciennes contiennent des vulnérabilités de sécurité connues. Les attaquants scrutent activement Internet à la recherche de sites utilisant ces versions obsolètes, et une conséquence fréquente est la défiguration du site (defacement) : vos pages sont remplacées ou modifiées par quelqu’un qui ne devrait pas y avoir accès.
Comme les versions vulnérables sont bien documentées et faciles à trouver, ce risque n’est pas théorique. La bonne nouvelle, c’est qu’il est simple à corriger, et que la mise à jour comble la faille.
Comment vérifier votre version
Vous n’êtes pas obligé de me croire sur parole quant à la version que vous utilisez. Si vous avez accès à votre zone d’administration Joomla :
- Connectez-vous à votre administration Joomla (généralement à l’adresse
votredomaine.com/administrator). - Allez dans Système puis Gérer puis Extensions (ou Extensions puis Gérer, selon votre version de Joomla).
- Recherchez JCE et notez la version installée.
Comparez-la à la dernière version disponible sur le site officiel de JCE (voir ci-dessous). Si la vôtre est plus ancienne, vous devriez mettre à jour.
Comment mettre à jour
La voie la plus sûre consiste à effectuer la mise à jour via Joomla lui-même, et à réaliser une sauvegarde au préalable :
- Sauvegardez votre site (fichiers et base de données) avant d’apporter des modifications. La plupart des hébergeurs proposent des sauvegardes en un clic, ou utilisez une extension de sauvegarde Joomla.
- Dans l’administration Joomla, ouvrez Extensions puis Gérer puis Mettre à jour, et cliquez sur Rechercher les mises à jour. Si une mise à jour de JCE est répertoriée, installez-la à partir d’ici.
- Si aucune mise à jour n’y apparaît, téléchargez la dernière version directement depuis le projet officiel JCE à l’adresse https://www.joomlacontenteditor.net et installez-la via Extensions puis Installer.
- Après la mise à jour, confirmez le nouveau numéro de version en suivant les étapes ci-dessus, et vérifiez que votre site se charge et s’édite normalement.
Tant que vous y êtes, il vaut la peine de confirmer que Joomla lui-même et vos autres extensions sont à jour, car le même principe s’applique à tous.
Je n’ai pas de webmaster / je suis bloqué
Si vous n’êtes pas la personne qui gère le site, veuillez transférer cette page à celle qui s’en charge (votre développeur web, votre agence ou votre hébergeur). Elle reconnaîtra rapidement les étapes ci-dessus.
Si vous gérez le site vous-même et que vous êtes bloqué, je me ferai un plaisir de vous aiguiller dans la bonne direction, sans frais. Contactez-moi à l’aide des coordonnées ci-dessous.
Contact
Evan Harris, chercheur en sécurité
- E-mail : security@mail.mcpsec.dev
- X : @Evan__Harris
- GitHub : eharris128
Je contacte les exploitants au sujet de problèmes comme celui-ci uniquement pour les aider à sécuriser leurs sites. Si vous préférez ne plus être contacté, faites-le-moi simplement savoir et je le respecterai.
Références
Avis officiels et suivi
- Fiche NVD (CVE-2026-48907)
- Enregistrement CVE de MITRE
- GitHub Advisory Database (GHSA-c3f5-4g7f-qjqj)
- Alerte CISA sur les vulnérabilités connues et exploitées (16 juin 2026)
Éditeur (Joomla Content Editor)
Presse