Повідомлення про безпеку JCE
Якщо ви отримали від мене листа з посиланням на цю сторінку, то тому, що ваш сайт, судячи з усього, використовує застарілу версію плагіна Joomla Content Editor (JCE). На цій сторінці пояснюється, чому це важливо і як це виправити.
Це повідомлення стосується вразливості CVE-2026-48907, критичної (CVSS 10.0), активно експлуатованої вразливості, яка допускає неавтентифіковане віддалене виконання коду. Вона зачіпає версії JCE з 1.0.0 по 2.9.99.4 і усунена у версії 2.9.99.5, з додатковим посиленням захисту у 2.9.99.6. Якщо ви використовуєте уражену версію, оновіться до JCE 2.9.99.6 якнайшвидше (див. Як оновитися нижче).
Чи є це повідомлення справжнім?
Так. Це добросовісне повідомлення в рамках відповідального розкриття інформації від незалежного дослідника безпеки. Я не прошу у вас грошей, паролів чи доступу до вашого сайту і не намагався проникнути до нього чи щось експлуатувати.
Усе, що я зробив: переглянув публічно доступні файли, які ваш сайт надає кожному відвідувачу (так само, як публічна ваша головна сторінка), і зазначив номер версії, який плагін JCE публікує в цих файлах. Ніщо в цій перевірці не зачіпає ваші дані, вашу адміністративну панель чи будь-яку приватну частину вашого сайту.
Якщо ви хочете переконатися в тому, хто я, ознайомтеся з контактними даними внизу цієї сторінки та на сторінці Про мене.
Чому це важливо
Joomla Content Editor є дуже широко використовуваним плагіном-редактором для системи керування контентом Joomla. Старіші випуски містять відомі вразливості безпеки. Зловмисники активно сканують інтернет у пошуках сайтів, що використовують ці застарілі версії, і частим результатом стає псування сайту (defacement): ваші сторінки замінюються або змінюються кимось, хто не повинен мати доступу.
Оскільки вразливі версії добре задокументовані та легко виявляються, це не теоретичний ризик. Хороша новина в тому, що виправити це нескладно, а оновлення закриває пролом.
Як перевірити свою версію
Вам не обов’язково вірити мені на слово щодо того, яку версію ви використовуєте. Якщо у вас є доступ до адміністративної панелі Joomla:
- Увійдіть до адміністрування Joomla (зазвичай за адресою
yourdomain.com/administrator). - Перейдіть до System потім Manage потім Extensions (або Extensions потім Manage, залежно від вашої версії Joomla).
- Знайдіть JCE і запишіть встановлену версію.
Порівняйте її з останнім випуском на офіційному сайті JCE (див. нижче). Якщо ваша версія старіша, вам слід оновитися.
Як оновитися
Найбезпечніший шлях: оновлення через саму Joomla, попередньо створивши резервну копію:
- Створіть резервну копію вашого сайту (файли та база даних) перед внесенням змін. Більшість хостинг-провайдерів пропонують резервне копіювання в один клік, або скористайтеся розширенням для резервного копіювання Joomla.
- В адмініструванні Joomla відкрийте Extensions потім Manage потім Update і натисніть Find Updates. Якщо оновлення JCE вказано у списку, встановіть його звідси.
- Якщо там не з’являється оновлення, завантажте останній випуск безпосередньо з офіційного проєкту JCE за адресою https://www.joomlacontenteditor.net і встановіть його через Extensions потім Install.
- Після оновлення підтвердьте новий номер версії, дотримуючись наведених вище кроків, і перевірте, що ваш сайт завантажується та редагується нормально.
Раз уже ви цим зайнялися, варто переконатися, що сама Joomla та ваші інші розширення актуальні, оскільки той самий принцип застосовується до всіх із них.
У мене немає вебмайстра / я застряг
Якщо ви не та людина, яка обслуговує сайт, будь ласка, перешліть цю сторінку тому, хто це робить (вашому веброзробнику, агенції чи хостинг-провайдеру). Вони швидко впізнають наведені вище кроки.
Якщо ви обслуговуєте сайт самостійно і застрягли, я з радістю безкоштовно допоможу вам знайти правильний напрямок. Зв’яжіться зі мною, використовуючи контактні дані нижче.
Контакти
Evan Harris, дослідник безпеки
- Електронна пошта: security@mail.mcpsec.dev
- X: @Evan__Harris
- GitHub: eharris128
Я звертаюся з подібних питань виключно для того, щоб допомогти операторам захистити їхні сайти. Якщо ви віддаєте перевагу тому, щоб з вами більше не зв’язувалися, просто повідомте мені про це, і я поважатиму це.
Джерела
Офіційні повідомлення та відстеження
- Запис у NVD (CVE-2026-48907)
- Запис CVE у MITRE
- GitHub Advisory Database (GHSA-c3f5-4g7f-qjqj)
- Оповіщення CISA про відомі експлуатовані вразливості (16 червня 2026)
Виробник (Joomla Content Editor)
Висвітлення у пресі