Biuletyn bezpieczeństwa JCE
Jeśli otrzymałeś ode mnie wiadomość e-mail kierującą Cię na tę stronę, to dlatego, że Twoja witryna najwyraźniej korzysta z nieaktualnej wersji wtyczki Joomla Content Editor (JCE). Ta strona wyjaśnia, dlaczego to ważne i jak temu zaradzić.
Ten biuletyn dotyczy CVE-2026-48907, krytycznej (CVSS 10.0), aktywnie wykorzystywanej luki, która umożliwia nieuwierzytelnione zdalne wykonanie kodu. Dotyczy ona wersji JCE 1.0.0 do 2.9.99.4 i została naprawiona w 2.9.99.5, z dodatkowym wzmocnieniem w 2.9.99.6. Jeśli korzystasz z wersji, której dotyczy problem, zaktualizuj do JCE 2.9.99.6 tak szybko, jak to możliwe (zobacz Jak zaktualizować poniżej).
Czy ta wiadomość jest wiarygodna?
Tak. Jest to powiadomienie w dobrej wierze, zgodne z zasadą odpowiedzialnego ujawniania, od niezależnego badacza bezpieczeństwa. Nie proszę Cię o pieniądze, hasła ani dostęp do Twojej strony, i nie próbowałem się do niej włamać ani niczego wykorzystać.
Jedyne, co zrobiłem, to obejrzenie publicznie widocznych plików, które Twoja witryna udostępnia każdemu odwiedzającemu (tak samo jak publiczna jest Twoja strona główna), i odnotowanie numeru wersji, który wtyczka JCE publikuje w tych plikach. Nic w tym sprawdzeniu nie dotyka Twoich danych, Twojego panelu administracyjnego ani żadnej prywatnej części Twojej strony.
Jeśli chcesz zweryfikować, kim jestem, zobacz dane kontaktowe na dole tej strony oraz stronę O tej stronie.
Dlaczego to ważne
Joomla Content Editor to bardzo szeroko używana wtyczka edytora dla systemu zarządzania treścią Joomla. Starsze wydania zawierają znane podatności bezpieczeństwa. Atakujący aktywnie przeszukują internet w poszukiwaniu stron korzystających z tych przestarzałych wersji, a częstym skutkiem jest podmiana wyglądu strony (defacement): Twoje strony zostają zastąpione lub zmienione przez kogoś, kto nie powinien mieć dostępu.
Ponieważ podatne wersje są dobrze udokumentowane i łatwe do znalezienia, nie jest to ryzyko teoretyczne. Dobra wiadomość jest taka, że problem można łatwo rozwiązać, a aktualizacja zamyka lukę.
Jak sprawdzić swoją wersję
Nie musisz wierzyć mi na słowo co do tego, z jakiej wersji korzystasz. Jeśli masz dostęp do panelu administracyjnego Joomla:
- Zaloguj się do administracji Joomla (zwykle pod adresem
twojadomena.pl/administrator). - Przejdź do System następnie Zarządzaj następnie Rozszerzenia (lub Rozszerzenia następnie Zarządzaj, w zależności od wersji Joomla).
- Wyszukaj JCE i odnotuj zainstalowaną wersję.
Porównaj ją z najnowszym wydaniem na oficjalnej stronie JCE (zobacz poniżej). Jeśli Twoja jest starsza, powinieneś zaktualizować.
Jak zaktualizować
Najbezpieczniejsza droga to aktualizacja przez samą Joomlę, po uprzednim utworzeniu kopii zapasowej:
- Utwórz kopię zapasową swojej strony (pliki i baza danych) przed wprowadzeniem zmian. Większość dostawców hostingu oferuje kopie zapasowe jednym kliknięciem, albo skorzystaj z rozszerzenia do tworzenia kopii zapasowych Joomla.
- W administracji Joomla otwórz Rozszerzenia następnie Zarządzaj następnie Aktualizuj i kliknij Znajdź aktualizacje. Jeśli aktualizacja JCE jest na liście, zainstaluj ją stąd.
- Jeśli nie pojawi się tam żadna aktualizacja, pobierz najnowsze wydanie bezpośrednio z oficjalnego projektu JCE pod adresem https://www.joomlacontenteditor.net i zainstaluj je przez Rozszerzenia następnie Zainstaluj.
- Po aktualizacji potwierdź nowy numer wersji zgodnie z powyższymi krokami i sprawdź, czy Twoja strona wczytuje się i pozwala na edycję jak zwykle.
Skoro już tam jesteś, warto potwierdzić, że sama Joomla oraz pozostałe rozszerzenia są aktualne, ponieważ ta sama zasada dotyczy ich wszystkich.
Nie mam webmastera / utknąłem
Jeśli nie jesteś osobą, która utrzymuje stronę, prześlij tę stronę temu, kto to robi (Twojemu deweloperowi, agencji lub dostawcy hostingu). Szybko rozpoznają powyższe kroki.
Jeśli sam utrzymujesz stronę i utkniesz, chętnie pomogę Ci wskazać właściwy kierunek, bezpłatnie. Skontaktuj się, korzystając z danych kontaktowych poniżej.
Kontakt
Evan Harris, badacz bezpieczeństwa
- E-mail: security@mail.mcpsec.dev
- X: @Evan__Harris
- GitHub: eharris128
Kontaktuję się w sprawach takich jak ta wyłącznie po to, by pomóc operatorom zabezpieczyć ich strony. Jeśli wolisz nie być więcej kontaktowany, po prostu daj mi znać, a uszanuję to.
Źródła
Oficjalne biuletyny i śledzenie
- Wpis NVD (CVE-2026-48907)
- Wpis MITRE CVE
- GitHub Advisory Database (GHSA-c3f5-4g7f-qjqj)
- Alert CISA o znanych wykorzystywanych podatnościach (16 czerwca 2026)
Producent (Joomla Content Editor)
Doniesienia medialne