Якщо ви отримали від мене листа з посиланням на цю сторінку, то тому, що ваш сайт, судячи з усього, використовує застарілу версію плагіна Joomla Content Editor (JCE). На цій сторінці пояснюється, чому це важливо і як це виправити.

Це повідомлення стосується вразливості CVE-2026-48907, критичної (CVSS 10.0), активно експлуатованої вразливості, яка допускає неавтентифіковане віддалене виконання коду. Вона зачіпає версії JCE з 1.0.0 по 2.9.99.4 і усунена у версії 2.9.99.5, з додатковим посиленням захисту у 2.9.99.6. Якщо ви використовуєте уражену версію, оновіться до JCE 2.9.99.6 якнайшвидше (див. Як оновитися нижче).

Чи є це повідомлення справжнім?

Так. Це добросовісне повідомлення в рамках відповідального розкриття інформації від незалежного дослідника безпеки. Я не прошу у вас грошей, паролів чи доступу до вашого сайту і не намагався проникнути до нього чи щось експлуатувати.

Усе, що я зробив: переглянув публічно доступні файли, які ваш сайт надає кожному відвідувачу (так само, як публічна ваша головна сторінка), і зазначив номер версії, який плагін JCE публікує в цих файлах. Ніщо в цій перевірці не зачіпає ваші дані, вашу адміністративну панель чи будь-яку приватну частину вашого сайту.

Якщо ви хочете переконатися в тому, хто я, ознайомтеся з контактними даними внизу цієї сторінки та на сторінці Про мене.

Чому це важливо

Joomla Content Editor є дуже широко використовуваним плагіном-редактором для системи керування контентом Joomla. Старіші випуски містять відомі вразливості безпеки. Зловмисники активно сканують інтернет у пошуках сайтів, що використовують ці застарілі версії, і частим результатом стає псування сайту (defacement): ваші сторінки замінюються або змінюються кимось, хто не повинен мати доступу.

Оскільки вразливі версії добре задокументовані та легко виявляються, це не теоретичний ризик. Хороша новина в тому, що виправити це нескладно, а оновлення закриває пролом.

Як перевірити свою версію

Вам не обов’язково вірити мені на слово щодо того, яку версію ви використовуєте. Якщо у вас є доступ до адміністративної панелі Joomla:

  1. Увійдіть до адміністрування Joomla (зазвичай за адресою yourdomain.com/administrator).
  2. Перейдіть до System потім Manage потім Extensions (або Extensions потім Manage, залежно від вашої версії Joomla).
  3. Знайдіть JCE і запишіть встановлену версію.

Порівняйте її з останнім випуском на офіційному сайті JCE (див. нижче). Якщо ваша версія старіша, вам слід оновитися.

Як оновитися

Найбезпечніший шлях: оновлення через саму Joomla, попередньо створивши резервну копію:

  1. Створіть резервну копію вашого сайту (файли та база даних) перед внесенням змін. Більшість хостинг-провайдерів пропонують резервне копіювання в один клік, або скористайтеся розширенням для резервного копіювання Joomla.
  2. В адмініструванні Joomla відкрийте Extensions потім Manage потім Update і натисніть Find Updates. Якщо оновлення JCE вказано у списку, встановіть його звідси.
  3. Якщо там не з’являється оновлення, завантажте останній випуск безпосередньо з офіційного проєкту JCE за адресою https://www.joomlacontenteditor.net і встановіть його через Extensions потім Install.
  4. Після оновлення підтвердьте новий номер версії, дотримуючись наведених вище кроків, і перевірте, що ваш сайт завантажується та редагується нормально.

Раз уже ви цим зайнялися, варто переконатися, що сама Joomla та ваші інші розширення актуальні, оскільки той самий принцип застосовується до всіх із них.

У мене немає вебмайстра / я застряг

Якщо ви не та людина, яка обслуговує сайт, будь ласка, перешліть цю сторінку тому, хто це робить (вашому веброзробнику, агенції чи хостинг-провайдеру). Вони швидко впізнають наведені вище кроки.

Якщо ви обслуговуєте сайт самостійно і застрягли, я з радістю безкоштовно допоможу вам знайти правильний напрямок. Зв’яжіться зі мною, використовуючи контактні дані нижче.

Контакти

Evan Harris, дослідник безпеки

Я звертаюся з подібних питань виключно для того, щоб допомогти операторам захистити їхні сайти. Якщо ви віддаєте перевагу тому, щоб з вами більше не зв’язувалися, просто повідомте мені про це, і я поважатиму це.

Джерела

Офіційні повідомлення та відстеження

Виробник (Joomla Content Editor)

Висвітлення у пресі