Duizenden Joomla websites die gebruikmaken van de Joomla Content Editor (JCE) bevatten een kritieke kwetsbaarheid waar aanvallers actief misbruik van maken en ervoor zorgt dat sites volledig zijn over te nemen. Beveiligingsupdates voor het probleem zijn sinds 3 juni beschikbaar, maar zo'n vijfduizend op Joomla gebaseerde websites hebben die niet geïnstalleerd, zo meldt The Shadowserver Foundation op basis van eigen onderzoek. De kwetsbaarheid (CVE-2026-48907) heeft de maximale CVSS-impactscore van 10.0 op een schaal van 1 tot en met 10.

Joomla is een contentmanagementsysteem (CMS) dat volgens W3Techs voor meer dan één procent van alle websites op internet wordt gebruikt. De Joomla Content Editor is een uitbreiding voor Joomla die de standaard editor voor het maken van content vervangt door een editor met een 'Office-achtige interface'. Een kwetsbaarheid in de JCE-editor maakt het mogelijk voor een ongeauthenticeerde aanvaller om een nieuw editorprofiel aan te maken. Vervolgens is via dit nieuwe profiel het uploaden en uitvoeren van PHP-code mogelijk. Zo kan er volledige controle over de website worden verkregen.

De ontwikkelaars van JCE-editor kwamen op 3 juni met een beveiligingsupdate voor het probleem. Op 12 juni lieten de ontwikkelaars weten dat actief misbruik plaatsvond. The Shadowserver Foundation is een stichting die onderzoek naar kwetsbare systemen op internet doet. Het voerde de afgelopen dagen online scans uit naar Joomla-websites die van de JCE-editor gebruikmaken. Dat leverde op 19 juni ruim 5100 kwetsbare websites op. Dat is inmiddels naar zo'n dan 4800 sites gedaald. Negentig van de kwetsbare Joomla-sites bevinden zich in Nederland. Beheerders die de update nog niet hebben geïnstalleerd wordt opgeroepen dit te doen en te controleren of hun site niet al gecompromitteerd is.