Ako ste od mene primili e-poštu koja vas upućuje na ovu stranicu, to je zato što vaše web-mjesto, čini se, koristi zastarjelu verziju dodatka Joomla Content Editor (JCE). Ova stranica objašnjava zašto je to važno i kako to popraviti.

Ova se obavijest odnosi na CVE-2026-48907, kritičnu (CVSS 10.0), aktivno iskorištavanu ranjivost koja omogućuje neautenticirano udaljeno izvršavanje koda. Zahvaća verzije JCE-a od 1.0.0 do 2.9.99.4, a ispravljena je u verziji 2.9.99.5, uz dodatno ojačanje u verziji 2.9.99.6. Ako koristite zahvaćenu verziju, nadogradite se na JCE 2.9.99.6 što je prije moguće (vidi Kako se nadograditi u nastavku).

Je li ova poruka vjerodostojna?

Da. Ovo je dobronamjerna obavijest po načelu odgovorne objave od neovisnog istraživača sigurnosti. Ne tražim od vas novac, lozinke ni pristup vašem web-mjestu i nisam pokušavao provaliti u njega niti bilo što iskoristiti.

Sve što sam učinio jest da sam pogledao javno vidljive datoteke koje vaše web-mjesto poslužuje svakom posjetitelju (na isti način na koji je vaša naslovnica javna) i zabilježio broj verzije koji dodatak JCE objavljuje u tim datotekama. Ništa u ovoj provjeri ne dira vaše podatke, vašu administratorsku zonu ni bilo koji privatni dio vašeg web-mjesta.

Ako želite provjeriti tko sam, pogledajte kontaktne podatke na dnu ove stranice i stranicu O meni.

Zašto je ovo važno

Joomla Content Editor vrlo je raširen dodatak za uređivanje za sustav za upravljanje sadržajem Joomla. Starija izdanja sadrže poznate sigurnosne ranjivosti. Napadači aktivno pretražuju internet u potrazi za web-mjestima koja koriste te zastarjele verzije, a čest je ishod oštećenje web-mjesta (defacement): vaše stranice biva zamijenjene ili izmijenjene od strane nekoga tko ne bi trebao imati pristup.

Budući da su ranjive verzije dobro dokumentirane i lako ih je pronaći, ovo nije teorijski rizik. Dobra je vijest da je to jednostavno popraviti, a nadogradnja zatvara rupu.

Kako provjeriti svoju verziju

Ne morate mi vjerovati na riječ o tome koju verziju koristite. Ako imate pristup svojoj Joomla administratorskoj zoni:

  1. Prijavite se u Joomla administraciju (obično na yourdomain.com/administrator).
  2. Idite na System pa Manage pa Extensions (ili Extensions pa Manage, ovisno o vašoj verziji Joomle).
  3. Potražite JCE i zabilježite instaliranu verziju.

Usporedite je s najnovijim izdanjem na službenom web-mjestu JCE-a (vidi u nastavku). Ako je vaša starija, trebali biste se nadograditi.

Kako se nadograditi

Najsigurniji put jest ažuriranje kroz samu Joomlu, uz prethodno stvaranje sigurnosne kopije:

  1. Napravite sigurnosnu kopiju svog web-mjesta (datoteke i baza podataka) prije unošenja izmjena. Većina pružatelja usluga hostinga nudi sigurnosne kopije jednim klikom, ili upotrijebite proširenje za sigurnosno kopiranje Joomle.
  2. U Joomla administraciji otvorite Extensions pa Manage pa Update i kliknite Find Updates. Ako je ažuriranje JCE-a navedeno, instalirajte ga odavde.
  3. Ako se tamo ne pojavi ažuriranje, preuzmite najnovije izdanje izravno sa službenog projekta JCE na adresi https://www.joomlacontenteditor.net i instalirajte ga putem Extensions pa Install.
  4. Nakon nadogradnje potvrdite novi broj verzije prema gornjim koracima i provjerite da se vaše web-mjesto normalno učitava i uređuje.

Kad ste već tu, vrijedi potvrditi da su sama Joomla i vaša ostala proširenja ažurni, budući da isto načelo vrijedi za sve njih.

Nemam webmastera / zapeo sam

Ako niste osoba koja održava web-mjesto, molim vas proslijedite ovu stranicu onome tko to radi (vašem web-programeru, agenciji ili pružatelju usluga hostinga). Oni će brzo prepoznati gornje korake.

Ako sami održavate web-mjesto i zapnete, rado ću vam besplatno pomoći usmjeriti vas u pravom smjeru. Javite se koristeći kontaktne podatke u nastavku.

Kontakt

Evan Harris, istraživač sigurnosti

Obraćam se u vezi s ovakvim problemima isključivo kako bih pomogao operaterima osigurati njihova web-mjesta. Ako biste radije da vas se više ne kontaktira, samo mi javite i to ću poštovati.

Reference

Službene obavijesti i praćenje

Proizvođač (Joomla Content Editor)

Medijsko izvještavanje