Если Вы получили от меня письмо со ссылкой на эту страницу, то потому, что Ваш сайт, по всей видимости, использует устаревшую версию плагина Joomla Content Editor (JCE). На этой странице объясняется, почему это важно и как это исправить.

Данное уведомление касается уязвимости CVE-2026-48907, критической (CVSS 10.0), активно эксплуатируемой уязвимости, которая допускает неаутентифицированное удалённое выполнение кода. Она затрагивает версии JCE с 1.0.0 по 2.9.99.4 и устранена в версии 2.9.99.5, с дополнительным усилением защиты в 2.9.99.6. Если Вы используете затронутую версию, обновитесь до JCE 2.9.99.6 как можно скорее (см. Как обновиться ниже).

Является ли это сообщение подлинным?

Да. Это добросовестное уведомление в рамках ответственного раскрытия информации от независимого исследователя безопасности. Я не прошу у Вас денег, паролей или доступа к Вашему сайту и не пытался проникнуть в него или что-либо эксплуатировать.

Всё, что я сделал, это просмотрел публично доступные файлы, которые Ваш сайт предоставляет каждому посетителю (точно так же, как публична Ваша главная страница), и отметил номер версии, который плагин JCE публикует в этих файлах. Ничто в этой проверке не затрагивает Ваши данные, Вашу административную панель или какую-либо частную часть Вашего сайта.

Если Вы хотите убедиться в том, кто я, ознакомьтесь с контактными данными внизу этой страницы и на странице Обо мне.

Почему это важно

Joomla Content Editor представляет собой очень широко используемый плагин-редактор для системы управления контентом Joomla. Более старые выпуски содержат известные уязвимости безопасности. Злоумышленники активно сканируют интернет в поисках сайтов, использующих эти устаревшие версии, и частым результатом становится порча сайта (defacement): Ваши страницы заменяются или изменяются кем-то, у кого не должно быть доступа.

Поскольку уязвимые версии хорошо задокументированы и легко обнаруживаются, это не теоретический риск. Хорошая новость в том, что исправить это несложно, а обновление закрывает брешь.

Как проверить свою версию

Вам не обязательно верить мне на слово относительно того, какую версию Вы используете. Если у Вас есть доступ к административной панели Joomla:

  1. Войдите в администрирование Joomla (обычно по адресу yourdomain.com/administrator).
  2. Перейдите в System затем Manage затем Extensions (или Extensions затем Manage, в зависимости от Вашей версии Joomla).
  3. Найдите JCE и запишите установленную версию.

Сравните её с последним выпуском на официальном сайте JCE (см. ниже). Если Ваша версия старее, Вам следует обновиться.

Как обновиться

Самый безопасный путь: обновление через саму Joomla, предварительно создав резервную копию:

  1. Создайте резервную копию Вашего сайта (файлы и база данных) перед внесением изменений. Большинство хостинг-провайдеров предлагают резервное копирование в один клик, или используйте расширение для резервного копирования Joomla.
  2. В администрировании Joomla откройте Extensions затем Manage затем Update и нажмите Find Updates. Если обновление JCE указано в списке, установите его отсюда.
  3. Если там не появляется обновление, загрузите последний выпуск напрямую с официального проекта JCE по адресу https://www.joomlacontenteditor.net и установите его через Extensions затем Install.
  4. После обновления подтвердите новый номер версии, следуя приведённым выше шагам, и проверьте, что Ваш сайт загружается и редактируется нормально.

Раз уж Вы этим занялись, стоит убедиться, что сама Joomla и Ваши прочие расширения актуальны, поскольку тот же принцип применим ко всем из них.

У меня нет веб-мастера / я застрял

Если Вы не тот человек, который обслуживает сайт, пожалуйста, перешлите эту страницу тому, кто это делает (Вашему веб-разработчику, агентству или хостинг-провайдеру). Они быстро узнают приведённые выше шаги.

Если Вы обслуживаете сайт самостоятельно и застряли, я с радостью бесплатно помогу Вам найти верное направление. Свяжитесь со мной, используя контактные данные ниже.

Контакты

Evan Harris, исследователь безопасности

Я обращаюсь по подобным вопросам исключительно для того, чтобы помочь операторам защитить их сайты. Если Вы предпочитаете, чтобы с Вами больше не связывались, просто сообщите мне об этом, и я это уважу.

Источники

Официальные уведомления и отслеживание

Производитель (Joomla Content Editor)

Освещение в прессе