Een kritieke kwetsbaarheid in de Joomla Content Editor (JCE) wordt actief misbruikt om Joomla-websites mee aan te vallen, zo waarschuwen de ontwikkelaars en de Amerikaanse en Italiaanse autoriteiten. Joomla is een contentmanagementsysteem (CMS) dat volgens W3Techs voor meer dan één procent van alle websites op internet wordt gebruikt.

Joomla Content Editor is een uitbreiding voor Joomla die de standaard editor voor het maken van content vervangt door een editor met een 'Office-achtige interface'. Een kwetsbaarheid in de JCE-editor maakt het mogelijk voor een ongeauthenticeerde aanvaller om een nieuw editorprofiel aan te maken. Vervolgens is via dit nieuwe profiel het uploaden en uitvoeren van PHP-code mogelijk. Zo kan er volledige controle over de website worden verkregen.

De ontwikkelaars van JCE-editor kwamen op 3 juni met een beveiligingsupdate voor het probleem. Op 12 juni lieten de ontwikkelaars weten dat actief misbruik plaatsvond. Dit wordt nu ook door het Computer Security Incident Response Team van de Italiaanse overheid (CSIRT Italia) en het Amerikaanse cyberagentschap CISA gemeld. De kwetsbaarheid (CVE-2026-48907) heeft de maximale CVSS-impactscore van 10.0 op een schaal van 1 tot en met 10.

Beheerders die de update nog niet hebben geïnstalleerd wordt aangeraden dit meteen te doen en te controleren of de website niet gecompromitteerd is. De update zal eventuele backdoors die aanvallers via het lek hebben achtergelaten niet verwijderen. Het is daarom belangrijk dat beheerders goed hun website inspecteren.