15 Giugno 2026 13:22    Alert

Joomla Content Editor CVE-2026-48907: importazione di profili abusata per RCE non autenticata e webshell

Bastano una richiesta HTTP e nessuna credenziale per arrivare all'esecuzione di codice: è quanto consente la CVE-2026-48907, vulnerabilità di tipo remote code execution con CVSS v4.0 pari a 10.0 nel plugin Joomla Content Editor (JCE), una delle estensioni più installate per il CMS Joomla!. Il difetto risiede in controlli di accesso inadeguati sulla funzionalità di importazione dei profili editor: chiamando senza autenticazione l'endpoint /index.php?option=com_jce&task=profiles.import un attaccante remoto può creare un profilo JCE non autorizzato, abilitare il caricamento di file PHP e ottenere così l'esecuzione di codice arbitrario sul server.

La vulnerabilità è sfruttata attivamente in attacchi automatizzati: il codice di exploit è stato pubblicato su GitHub il 9 giugno 2026 e nel giro di pochi giorni si contano centinaia di siti compromessi. La falla è stata individuata e divulgata da YesWeHack; la CISA l'ha inserita nel catalogo KEV il 16 giugno 2026, mentre The Hacker News e SC Media hanno documentato la campagna. Lo schema di attacco è ricorrente: importazione di un profilo malevolo che autorizza il caricamento di file .php, seguita dal deposito di una webshell che garantisce all'attaccante un accesso persistente. Il vendor ha corretto il difetto nella versione 2.9.99.5, con ulteriori irrobustimenti nelle 2.9.99.6 e 2.9.99.7.

È esposto chiunque gestisca un sito Joomla! con JCE installato e non aggiornato, scenario diffusissimo tra portali di PA e PMI italiane che usano Joomla come CMS. Data la natura non autenticata e l'automazione degli attacchi, l'aggiornamento da solo non basta: va verificata l'eventuale presenza di profili JCE anomali e di webshell, controllando nei log del web server le richieste non autenticate verso profiles.import.

  • Versioni affette: Joomla Content Editor (JCE) precedenti alla 2.9.99.5.
  • Azione raccomandata: aggiornare JCE alla 2.9.99.5 o successiva (preferibilmente 2.9.99.7); ispezionare i profili editor e i file caricati alla ricerca di profili abusivi e webshell, e bonificare in caso di riscontro.

 

Fonti: ACN, Yes We Hack, The Hacker News, SC Media