Sigurnosna obavijest za JCE
Ako ste od mene primili e-poštu koja vas upućuje na ovu stranicu, to je zato što vaše web-mjesto, čini se, koristi zastarjelu verziju dodatka Joomla Content Editor (JCE). Ova stranica objašnjava zašto je to važno i kako to popraviti.
Ova se obavijest odnosi na CVE-2026-48907, kritičnu (CVSS 10.0), aktivno iskorištavanu ranjivost koja omogućuje neautenticirano udaljeno izvršavanje koda. Zahvaća verzije JCE-a od 1.0.0 do 2.9.99.4, a ispravljena je u verziji 2.9.99.5, uz dodatno ojačanje u verziji 2.9.99.6. Ako koristite zahvaćenu verziju, nadogradite se na JCE 2.9.99.6 što je prije moguće (vidi Kako se nadograditi u nastavku).
Je li ova poruka vjerodostojna?
Da. Ovo je dobronamjerna obavijest po načelu odgovorne objave od neovisnog istraživača sigurnosti. Ne tražim od vas novac, lozinke ni pristup vašem web-mjestu i nisam pokušavao provaliti u njega niti bilo što iskoristiti.
Sve što sam učinio jest da sam pogledao javno vidljive datoteke koje vaše web-mjesto poslužuje svakom posjetitelju (na isti način na koji je vaša naslovnica javna) i zabilježio broj verzije koji dodatak JCE objavljuje u tim datotekama. Ništa u ovoj provjeri ne dira vaše podatke, vašu administratorsku zonu ni bilo koji privatni dio vašeg web-mjesta.
Ako želite provjeriti tko sam, pogledajte kontaktne podatke na dnu ove stranice i stranicu O meni.
Zašto je ovo važno
Joomla Content Editor vrlo je raširen dodatak za uređivanje za sustav za upravljanje sadržajem Joomla. Starija izdanja sadrže poznate sigurnosne ranjivosti. Napadači aktivno pretražuju internet u potrazi za web-mjestima koja koriste te zastarjele verzije, a čest je ishod oštećenje web-mjesta (defacement): vaše stranice biva zamijenjene ili izmijenjene od strane nekoga tko ne bi trebao imati pristup.
Budući da su ranjive verzije dobro dokumentirane i lako ih je pronaći, ovo nije teorijski rizik. Dobra je vijest da je to jednostavno popraviti, a nadogradnja zatvara rupu.
Kako provjeriti svoju verziju
Ne morate mi vjerovati na riječ o tome koju verziju koristite. Ako imate pristup svojoj Joomla administratorskoj zoni:
- Prijavite se u Joomla administraciju (obično na
yourdomain.com/administrator). - Idite na System pa Manage pa Extensions (ili Extensions pa Manage, ovisno o vašoj verziji Joomle).
- Potražite JCE i zabilježite instaliranu verziju.
Usporedite je s najnovijim izdanjem na službenom web-mjestu JCE-a (vidi u nastavku). Ako je vaša starija, trebali biste se nadograditi.
Kako se nadograditi
Najsigurniji put jest ažuriranje kroz samu Joomlu, uz prethodno stvaranje sigurnosne kopije:
- Napravite sigurnosnu kopiju svog web-mjesta (datoteke i baza podataka) prije unošenja izmjena. Većina pružatelja usluga hostinga nudi sigurnosne kopije jednim klikom, ili upotrijebite proširenje za sigurnosno kopiranje Joomle.
- U Joomla administraciji otvorite Extensions pa Manage pa Update i kliknite Find Updates. Ako je ažuriranje JCE-a navedeno, instalirajte ga odavde.
- Ako se tamo ne pojavi ažuriranje, preuzmite najnovije izdanje izravno sa službenog projekta JCE na adresi https://www.joomlacontenteditor.net i instalirajte ga putem Extensions pa Install.
- Nakon nadogradnje potvrdite novi broj verzije prema gornjim koracima i provjerite da se vaše web-mjesto normalno učitava i uređuje.
Kad ste već tu, vrijedi potvrditi da su sama Joomla i vaša ostala proširenja ažurni, budući da isto načelo vrijedi za sve njih.
Nemam webmastera / zapeo sam
Ako niste osoba koja održava web-mjesto, molim vas proslijedite ovu stranicu onome tko to radi (vašem web-programeru, agenciji ili pružatelju usluga hostinga). Oni će brzo prepoznati gornje korake.
Ako sami održavate web-mjesto i zapnete, rado ću vam besplatno pomoći usmjeriti vas u pravom smjeru. Javite se koristeći kontaktne podatke u nastavku.
Kontakt
Evan Harris, istraživač sigurnosti
- E-pošta: security@mail.mcpsec.dev
- X: @Evan__Harris
- GitHub: eharris128
Obraćam se u vezi s ovakvim problemima isključivo kako bih pomogao operaterima osigurati njihova web-mjesta. Ako biste radije da vas se više ne kontaktira, samo mi javite i to ću poštovati.
Reference
Službene obavijesti i praćenje
- Unos u NVD-u (CVE-2026-48907)
- MITRE CVE zapis
- GitHub Advisory Database (GHSA-c3f5-4g7f-qjqj)
- CISA upozorenje o poznatim iskorištavanim ranjivostima (16. lipnja 2026.)
Proizvođač (Joomla Content Editor)
Medijsko izvještavanje