Avviso di sicurezza JCE
Se avete ricevuto un’email da parte mia che vi indirizza a questa pagina, è perché il vostro sito sembra utilizzare una versione obsoleta del plugin Joomla Content Editor (JCE). Questa pagina spiega perché è importante e come correggere il problema.
Questo avviso riguarda CVE-2026-48907, una falla critica (CVSS 10.0), attivamente sfruttata, che consente l’esecuzione di codice remoto non autenticata. Interessa le versioni di JCE dalla 1.0.0 alla 2.9.99.4 ed è corretta nella 2.9.99.5, con un ulteriore irrobustimento nella 2.9.99.6. Se utilizzate una versione interessata, aggiornate a JCE 2.9.99.6 il prima possibile (vedete Come aggiornare più sotto).
Questo messaggio è legittimo?
Sì. Si tratta di un avviso in buona fede, secondo il principio della divulgazione responsabile, da parte di un ricercatore di sicurezza indipendente. Non vi chiedo denaro, password o accesso al vostro sito, e non ho tentato di introdurmi in esso o di sfruttare alcunché.
Tutto ciò che ho fatto è stato esaminare file pubblicamente visibili che il vostro sito fornisce a ogni visitatore (allo stesso modo in cui la vostra homepage è pubblica) e annotare il numero di versione che il plugin JCE pubblica in quei file. Nulla di questo controllo tocca i vostri dati, la vostra area di amministrazione o alcuna parte privata del vostro sito.
Se desiderate verificare chi sono, consultate i recapiti in fondo a questa pagina e la pagina Informazioni.
Perché è importante
Il Joomla Content Editor è un plugin di editing molto diffuso per il sistema di gestione dei contenuti Joomla. Le versioni più vecchie contengono vulnerabilità di sicurezza note. Gli aggressori scandagliano attivamente internet alla ricerca di siti che utilizzano queste versioni obsolete, e un esito comune è la deturpazione del sito (defacement): le vostre pagine vengono sostituite o alterate da qualcuno che non dovrebbe avere accesso.
Poiché le versioni vulnerabili sono ben documentate e facili da individuare, non si tratta di un rischio teorico. La buona notizia è che è semplice da correggere, e l’aggiornamento chiude la falla.
Come verificare la vostra versione
Non dovete credermi sulla parola riguardo alla versione che state utilizzando. Se avete accesso alla vostra area di amministrazione Joomla:
- Accedete all’amministrazione di Joomla (di solito all’indirizzo
vostrodominio.it/administrator). - Andate su Sistema poi Gestisci poi Estensioni (oppure Estensioni poi Gestisci, a seconda della vostra versione di Joomla).
- Cercate JCE e annotate la versione installata.
Confrontatela con l’ultima versione disponibile sul sito ufficiale di JCE (vedete sotto). Se la vostra è più vecchia, dovreste aggiornare.
Come aggiornare
Il percorso più sicuro è aggiornare tramite Joomla stesso, effettuando prima un backup:
- Eseguite il backup del vostro sito (file e database) prima di apportare modifiche. La maggior parte dei provider di hosting offre backup con un clic, oppure potete usare un’estensione di backup per Joomla.
- Nell’amministrazione di Joomla, aprite Estensioni poi Gestisci poi Aggiorna e fate clic su Trova aggiornamenti. Se un aggiornamento di JCE è elencato, installatelo da qui.
- Se nessun aggiornamento compare lì, scaricate l’ultima versione direttamente dal progetto ufficiale JCE all’indirizzo https://www.joomlacontenteditor.net e installatela tramite Estensioni poi Installa.
- Dopo l’aggiornamento, confermate il nuovo numero di versione seguendo i passaggi sopra, e verificate che il vostro sito si carichi e si modifichi normalmente.
Già che ci siete, vale la pena confermare che Joomla stesso e le vostre altre estensioni siano aggiornati, poiché lo stesso principio vale per tutti.
Non ho un webmaster / sono bloccato
Se non siete la persona che gestisce il sito, inoltrate questa pagina a chi lo fa (il vostro sviluppatore web, la vostra agenzia o il vostro provider di hosting). Riconosceranno rapidamente i passaggi sopra.
Se gestite il sito da soli e vi bloccate, sarò lieto di aiutarvi a orientarvi nella direzione giusta senza alcun costo. Contattatemi usando i recapiti sottostanti.
Contatti
Evan Harris, Ricercatore di sicurezza
- Email: security@mail.mcpsec.dev
- X: @Evan__Harris
- GitHub: eharris128
Contatto gli operatori riguardo a problemi come questo unicamente per aiutarli a mettere in sicurezza i loro siti. Se preferite non essere contattati di nuovo, ditemelo e rispetterò la vostra richiesta.
Riferimenti
Avvisi ufficiali e tracciamento
- Voce NVD (CVE-2026-48907)
- Record CVE MITRE
- GitHub Advisory Database (GHSA-c3f5-4g7f-qjqj)
- Allerta CISA sulle vulnerabilità note sfruttate (16 giugno 2026)
Fornitore (Joomla Content Editor)
Copertura giornalistica