Пока администратор небольшого сайта разбирал жалобы на странные ошибки в панели управления, злоумышленники уже успели зайти глубже. Американское агентство CISA добавило критическую уязвимость в Joomla JCE в каталог известных эксплуатируемых дыр и потребовало закрыть её без промедления.
Что произошло
Речь идёт о CVE-2026-48907 — уязвимости с максимальной оценкой CVSS 10,0 в расширении Widget Factory Joomla Content Editor. По данным CISA, проблема связана с неправильным контролем доступа и может привести к загрузке и запуску PHP-кода.
Иными словами, если атакующий доберётся до уязвимого сайта, он может создать новый профиль редактора без авторизации и использовать его для выполнения своих команд на сервере. Патч вышел в версии 2.9.99.5 ещё 3 июня 2026 года, но CISA отдельно указало на признаки активного использования дыры.
Как работает атака
Схема здесь не новая, но опасная. Уязвимость позволяет обойти обычную логику доступа внутри JCE: вместо обычной работы редактора атакующий создаёт профиль, который ему не должен быть доступен, а затем загружает вредоносный PHP-файл или добивается его выполнения другим способом.
Это уже не просто сбой в интерфейсе. После запуска кода злоумышленник может читать и менять файлы, закрепляться на сервере и использовать сайт как плацдарм для следующих атак. В таких случаях компрометация одного расширения быстро превращается в проблему всего хостинга.
Похожую логику мы уже видели в других инцидентах: одна слабая точка в популярном компоненте открывает путь к потере контроля над сайтом, а дальше администраторам остаётся только искать следы вторжения. Об этом же напоминает и разбор атаки на утечку данных у Kodak, где слабое место в защите быстро стало бизнес-проблемой.
Кого затронуло и чем это грозит
Под удар попали сайты на Joomla, которые используют JCE версий с 1.0.0 по 2.9.99.4. Особенно рискуют те, кто давно не обновлял расширения или держит старые сборки ради совместимости с шаблонами и плагинами.
Последствия зависят от того, как именно атакующий воспользуется доступом. На практике это может быть внедрение веб-шелла, кража данных, подмена содержимого страниц, рассылка вредоносных скриптов посетителям или дальнейшее движение по инфраструктуре.
На фоне этого сообщения CISA отдельно вело речь и о других волнах атак на сайты, где злоумышленники подмешивают вредоносный код в плагины и базу данных. Такой сценарий особенно опасен для небольших компаний: они замечают проблему не по журналам, а по падению позиций в поиске, жалобам клиентов и странной активности на сервере.
Что делать сейчас
Если у вас сайт на Joomla, проверьте версию JCE и обновите расширение до 2.9.99.5 или новее. Если обновление пока невозможно, временно отключите модуль редактора, ограничьте доступ к панели управления и проверьте журналы на подозрительные действия.
Отдельно стоит пересмотреть учётные записи администраторов и редакторов, а также убедиться, что на сервере нет лишних файлов и новых профилей, которых вы не создавали. Для тех, кто входит в админку через общественные или чужие сети, полезно держать под рукой дополнительный слой приватности для открытого Wi‑Fi — это не отменяет обновления, но снижает риск утечки данных при работе вне офиса.
Практический чек-лист
- Проверьте, используете ли вы JCE версий 1.0.0–2.9.99.4.
- Обновите расширение до версии 2.9.99.5 или новее.
- Отключите JCE, если срочно обновиться не получается.
- Пересмотрите список администраторов и редакторов.
- Проверьте серверные журналы на новые профили и подозрительные загрузки.
- Убедитесь, что на сайте нет неизвестных файлов, скриптов и плагинов.
- Меняйте пароли после инцидента и включите 2FA для админов.
- Если сайт работал из общественной сети, используйте защищённое подключение для офисных задач только как дополнительную меру приватности, а не замену обновлениям и проверкам.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.