Dacă ați primit de la mine un e-mail care vă îndrumă către această pagină, este pentru că site-ul dumneavoastră pare să ruleze o versiune învechită a pluginului Joomla Content Editor (JCE). Această pagină explică de ce contează acest lucru și cum se remediază.

Această notificare privește CVE-2026-48907, o vulnerabilitate critică (CVSS 10.0), exploatată activ, care permite execuția de cod la distanță fără autentificare. Ea afectează versiunile JCE de la 1.0.0 până la 2.9.99.4 și este remediată în 2.9.99.5, cu întăriri suplimentare în 2.9.99.6. Dacă rulați o versiune afectată, actualizați la JCE 2.9.99.6 cât mai curând posibil (consultați Cum să actualizați mai jos).

Este acest mesaj legitim?

Da. Aceasta este o notificare de bună-credință, prin divulgare responsabilă, din partea unui cercetător independent în securitate. Nu vă cer bani, parole sau acces la site-ul dumneavoastră și nu am încercat să pătrund în el sau să exploatez ceva.

Tot ce am făcut a fost să mă uit la fișiere vizibile public pe care site-ul dumneavoastră le servește fiecărui vizitator (la fel cum pagina dumneavoastră de start este publică) și să notez numărul versiunii pe care pluginul JCE îl publică în acele fișiere. Nimic din această verificare nu atinge datele dumneavoastră, zona de administrare sau vreo parte privată a site-ului.

Dacă doriți să verificați cine sunt, consultați datele de contact din partea de jos a acestei pagini și pagina Despre.

De ce contează

Joomla Content Editor este un plugin de editor foarte răspândit pentru sistemul de gestionare a conținutului Joomla. Versiunile mai vechi conțin vulnerabilități de securitate cunoscute. Atacatorii scanează activ internetul în căutarea site-urilor care rulează aceste versiuni învechite, iar un rezultat frecvent este defăimarea site-ului (defacement): paginile dumneavoastră sunt înlocuite sau modificate de cineva care nu ar trebui să aibă acces.

Deoarece versiunile vulnerabile sunt bine documentate și ușor de găsit, acesta nu este un risc teoretic. Vestea bună este că remedierea este simplă, iar actualizarea închide breșa.

Cum să vă verificați versiunea

Nu trebuie să mă credeți pe cuvânt cu privire la versiunea pe care o rulați. Dacă aveți acces la zona de administrare Joomla:

  1. Autentificați-vă în administrarea Joomla (de obicei la yourdomain.com/administrator).
  2. Accesați System apoi Manage apoi Extensions (sau Extensions apoi Manage, în funcție de versiunea dumneavoastră de Joomla).
  3. Căutați JCE și notați versiunea instalată.

Comparați-o cu cea mai recentă versiune de pe site-ul oficial JCE (vedeți mai jos). Dacă a dumneavoastră este mai veche, ar trebui să actualizați.

Cum să actualizați

Cea mai sigură cale este să actualizați prin Joomla însuși și să faceți mai întâi o copie de rezervă:

  1. Faceți o copie de rezervă a site-ului (fișiere și baza de date) înainte de a face modificări. Majoritatea furnizorilor de găzduire oferă copii de rezervă cu un singur clic sau folosiți o extensie de backup pentru Joomla.
  2. În administrarea Joomla, deschideți Extensions apoi Manage apoi Update și apăsați Find Updates. Dacă este listată o actualizare JCE, instalați-o de aici.
  3. Dacă nu apare nicio actualizare acolo, descărcați cea mai recentă versiune direct de la proiectul oficial JCE la https://www.joomlacontenteditor.net și instalați-o prin Extensions apoi Install.
  4. După actualizare, confirmați noul număr al versiunii folosind pașii de mai sus și verificați că site-ul se încarcă și se editează normal.

Cât timp sunteți acolo, merită să confirmați că Joomla însuși și celelalte extensii ale dumneavoastră sunt actualizate, deoarece același principiu se aplică tuturor.

Nu am un webmaster / m-am blocat

Dacă nu sunteți persoana care întreține site-ul, vă rog să transmiteți această pagină celui care o face (dezvoltatorul dumneavoastră web, agenția sau furnizorul de găzduire). Vor recunoaște rapid pașii de mai sus.

Dacă întrețineți site-ul dumneavoastră și v-ați blocat, vă ajut cu plăcere să vă orientați în direcția corectă, fără niciun cost. Contactați-mă folosind datele de contact de mai jos.

Contact

Evan Harris, cercetător în securitate

Iau legătura în privința unor probleme ca aceasta pur și simplu pentru a ajuta operatorii să-și securizeze site-urile. Dacă preferați să nu mai fiți contactat, doar spuneți-mi și voi respecta acest lucru.

Referințe

Buletine oficiale și urmărire

Producător (Joomla Content Editor)

Relatări în presă