Sicherheitswarnung für Joomla-Erweiterung

Kritische Sicherheitslücke in Joomla JCE aktiv ausgenutzt

Joomla
LinkedInRedditWhatsApp

Die US-Behörde CISA warnt vor einer kritischen Schwachstelle im Joomla Content Editor. Angreifer können unauthentifiziert Schadcode ausführen.

Die US-Sicherheitsbehörde CISA hat eine kritische Schwachstelle im Widget Factory Joomla Content Editor (JCE) in ihren Katalog aktiv ausgenutzter Sicherheitslücken aufgenommen. Die Schwachstelle mit der Kennung CVE-2026-48907 weist den maximalen CVSS-Risikowert von 10.0 auf. Der Fehler resultiert aus einer unzureichenden Zugriffskontrolle. CISA erklärte dazu:

Anzeige

„Der Widget Factory Joomla Content Editor enthält eine Schwachstelle aufgrund unzureichender Zugriffskontrolle, die das Hochladen und Ausführen von PHP-Code durch die Erstellung neuer Editor-Profile für nicht authentifizierte Benutzer ermöglichen könnte.“

CISA

Anzeige

Betroffen sind die JCE-Versionen 1.0.0 bis 2.9.99.4. Die Sicherheitslücke wurde mit der Version 2.9.99.5 bereits am 3. Juni 2026 behoben. US-Bundesbehörden wurden aufgrund der akuten Ausnutzung verpflichtet, das entsprechende Update bis zum 19. Juni 2026 zu installieren.

Parallel zu Joomla: Lieferkettenangriffe auf WordPress-Systeme

Parallel dazu berichten Sicherheitsforscher von Sansec über eine separate Kampagne, die auf WordPress-Websites abzielt. Betroffen sind mehr als eine Million Websites, welche die Plugins OptinMonster, TrustPulse und PushEngage nutzen. Die Angreifer schleusen bösartigen JavaScript-Code ein. Dieser wartet auf die Anmeldung eines Administrators, um anschließend ein administratives Backdoor-Konto einzurichten und ein sich selbst versteckendes Plugin zu installieren.

In einer weiteren Kampagne wurde ein gefälschtes Plugin namens Beloved PBN Entegrasyonu entdeckt. Dieses sendet bei jedem Seitenaufruf die URL der betroffenen Website an eine externe Programmierschnittstelle und fügt vom Server zurückgegebenen Code in den Fußbereich der Webseite ein.

SEO-Manipulation über manipulierte Datenbanken

Nach Analysen von Sucuri ermöglichte der unbefugte Zugriff den Akteuren, zwei PHP-Webshells direkt in den wp_posts-Datenbankeinträgen zu hinterlegen. Dadurch erhielten die Angreifer uneingeschränkten Lese- und Schreibzugriff auf das gesamte Dateisystem des Servers, ohne sich authentifizieren zu müssen.

Die Kampagne wird einem türkischsprachigen Akteur zugeschrieben und dient einem klassischen SEO-Monetarisierungsmodell. Durch das heimliche Einfügen von ausgehenden Links für ein privates Blog-Netzwerk (PBN) wird die Suchmaschinenplatzierung der kompromittierten Webseiten gezielt manipuliert, was zu Abstrafungen bei den Suchergebnissen führen kann.

(red)


Anzeige
Joomla
18. Juni 2026
Kritische Sicherheitslücke in Joomla JCE aktiv ausgenutzt
Google
18. Juni 2026
GitLab erweitert Kooperation mit Google
Cybercrime
18. Juni 2026
Neue Cybercrime-Zentralstelle in Osnabrück
MDM
18. Juni 2026
Was ist Mobile Device Management (MDM)?

Weitere Artikel

Schadcode in 144 npm-Paketen von Mastra entdeckt
Bösartige Plugins stehlen KI-API-Schlüssel von Entwicklern
Gefälschter Microsoft-Sicherheitsalarm: Nordkoreanische Hacker nutzen NarwhalRAT
Microsoft Teams als Tarnung: Ransomware-Bande versteckt Datenverkehr
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.