CISA Warns of Actively Exploited Joomla JCE Flaw Allowing PHP Code Execution

Exploitation critique de l’extension Joomla JCE

La CISA a intégré une vulnérabilité critique affectant l’extension « Widget Factory Joomla Content Editor » (JCE) à son catalogue des vulnérabilités activement exploitées (KEV), en raison d’attaques automatisées visant à compromettre les serveurs via l’exécution de code PHP.

Points clés :

• Nature de l’attaque : Des attaquants exploitent une faille de contrôle d’accès pour créer des profils d’éditeur malveillants sans authentification. Cela permet ensuite de déposer des web shells pour obtenir un accès persistant au serveur.
• Vulnérabilité : CVE-2026-48907 (Score CVSS : 10.0).
• Versions impactées : JCE versions 1.0.0 à 2.9.99.4.
• Risque : L’application du correctif empêche l’intrusion, mais ne supprime pas les portes dérobées déjà installées par des attaquants sur des sites précédemment compromis.

Recommandations :

• Mise à jour immédiate : Passer à la version 2.9.99.5 ou ultérieure.
• Audit de sécurité : Inspecter les profils d’éditeur créés récemment et vérifier les journaux d’accès au fichier index.php pour les requêtes suspectes liées à task=profiles.import.
• Nettoyage après compromission : En cas d’infection avérée, une simple mise à jour est insuffisante ; une recherche approfondie et une suppression des web shells ou fichiers malveillants déposés sur le serveur sont indispensables.

Source