Пријави инцидент
Пријави инцидент

CISA предупредува за активно искористувана Joomla JCE ранливост што овозможува извршување на PHP код

Објавено: 17.06.2026

Американската Агенција за сајбер-безбедност и безбедност на инфраструктурата (CISA) во вторникот додаде критична безбедносна ранливост што го засега Widget Factory Joomla Content Editor (JCE) во својот каталог на Познати искористувани ранливости (Known Exploited Vulnerabilities – KEV), наведувајќи докази дека таа активно се злоупотребува.

Ранливоста, означена како CVE-2026-48907 (CVSS оценка: 10.0), претставува случај на несоодветна контрола на пристап, што може да овозможи произволно извршување на код.

„Widget Factory Joomla Content Editor содржи ранливост поврзана со несоодветна контрола на пристап, која може да дозволи поставување и извршување на PHP код преку креирање нови профили за уредувач за неавтентицирани корисници“, соопшти CISA.

Според описот објавен на CVE.org, проблемот се наоѓа во екстензијата JCE Editor за Joomla. Напаѓач може да креира нови профили за уредувач без да биде најавен, што му овозможува да постави и извршува PHP код на компромитираниот сервер.

Ранливоста ги засега верзиите на JCE од 1.0.0 до 2.9.99.4. Проблемот е отстранет во верзијата 2.9.99.5, објавена на 3 јуни 2026 година. Во белешките за изданието, Widget Factory наведува дека „недоволните контроли на пристап им дозволувале на неавтентицирани корисници да поставуваат профили за уредувач“.

Во моментов нема јавно достапни информации за конкретниот начин на кој ранливоста се злоупотребува во реални напади. На федералните цивилни агенции во САД им е наложено да ги применат безбедносните исправки најдоцна до 19 јуни 2026 година.

Повеќе кампањи насочени кон WordPress сајтови

Ова откритие доаѓа во период кога компанијата Sansec откри нова кампања за напад преку синџирот на снабдување (supply chain attack), насочена кон повеќе од 1 милион веб-страници што ги користат WordPress приклучоците OptinMonster, TrustPulse и PushEngage.

Напаѓачите вметнувале злонамерен JavaScript код кој:

  • чека да се најави администратор,
  • автоматски креира скриена администраторска сметка,
  • инсталира прикриен backdoor приклучок кој се крие од администраторите.

Во друга кампања, непознати напаѓачи компромитирале WordPress страница и вметнале лажен WordPress приклучок наречен „Beloved PBN Entegrasyonu“. Овој приклучок тајно ја испраќал URL-адресата на страницата до надворешен API при секое вчитување на страницата и вметнувал произволен HTML или JavaScript код што го добивал од серверот во подножјето (footer) на веб-страницата.

Сè уште не е познато како напаѓачите добиле почетен пристап до страницата, но тој пристап им овозможил да постават две PHP web shell алатки како извршлив код во записите на базата на податоци wp_posts и да комуницираат со нив преку HTTP барања.

Како резултат на тоа, напаѓачите добиле целосен пристап за читање и запишување низ целиот датотечен систем на серверот без потреба од автентикација.

Поточно, овие скриени PHP компоненти им овозможувале да:

  • читаат датотеки,
  • пишуваат и уредуваат датотеки,
  • бришат датотеки,
  • прелистуваат директориуми низ целиот сервер,
  • менуваат дозволи за пристап,
  • преименуваат датотеки,
  • креираат нови датотеки и папки,
  • поставуваат датотеки од сопствените компјутери.

Истражувачката од Sucuri, Пуја Шривастава, изјави:

„Секој посетител на компромитираната страница добивал вметнати надворешни PBN-врски во изворниот код на страницата при секое вчитување, што директно му штети на рангирањето на веб-страницата во пребарувачите и носи ризик од рачна казна во Google Search Console.“

Според анализата, кампањата ја води заканувачки актер што зборува турски јазик и е базирана на класична шема за заработка преку SEO манипулација: скриено вметнување на повратни врски (backlinks) за Private Blog Network (PBN), најверојатно поврзана со индустриите за онлајн коцкање и содржини за возрасни.

Извори:

  • The Hacker News – CISA Warns of Actively Exploited Joomla JCE Flaw Allowing PHP Code Execution The Hacker News