Des attaquants exploitent JCE Editor pour deposer des webshells sur Joomla

Si vous utilisez Joomla avec le plugin JCE (Joomla Content Editor), des attaquants exploitent activement la CVE-2026-48907 pour deposer des webshells PHP sur votre site. La faille est un controle d’acces inapproprie (CWE-284) qui permet a un attaquant non authentifie de creer un profil d’editeur illegitime et de l’utiliser pour deposer des fichiers executables sur le serveur. Widget Factory a publie le premier correctif le 3 juin 2026, le code d’exploitation est public, et la CISA a ajoute la CVE a son catalogue des vulnerabilites activement exploitees (KEV) le 16 juin 2026 avec une echeance de remediation au 19 juin.

Suis-je concerne ?

Toutes les versions de JCE anterieures a 2.9.99.5 contiennent la vulnerabilite. Selon l’avis de Widget Factory, cela concerne chaque site tournant encore sous JCE 2.7.x, 2.8.x, ou toute version 2.9.x inferieure a 2.9.99.5.

JCE 2.6.x ne semble pas affecte dans une configuration par defaut, selon l’editeur. Ce point n’a pas encore ete verifie independamment, et 2.6.x n’est plus supporte et comporte probablement d’autres problemes non corriges ; la migration reste donc recommandee.

Un point distingue cette faille de la plupart des vulnerabilites web : Widget Factory indique explicitement que les attaques sont automatisees et qu’un site sans inscription publique n’est pas protege. L’attaque cible directement le chemin d’importation des profils et ne necessite pas l’existence d’un compte invites.

Quoi faire maintenant

1. Mettez a jour vers JCE 2.9.99.6 immediatement. Widget Factory a publie la version 2.9.99.5 le 3 juin 2026 pour fermer le point d’entree, puis la version 2.9.99.6 le 6 juin 2026 avec des renforcements supplementaires. La version recommandee est 2.9.99.6. Prerequis : PHP 7.4 et Joomla 3.10 ou superieur.
2. Si vous ne pouvez pas encore passer a PHP 7.4 et Joomla 3.10, appliquez le correctif gratuit. Widget Factory a publie un correctif autonome pour JCE 2.7.x, 2.8.x et 2.9.x (inferieur a 2.9.99.5) a la meme URL d’avis. Il ferme la vulnerabilite sans le renforcement de 2.9.99.6 et est fourni tel quel. Considerez-le comme un palliatif : PHP ou Joomla en fin de vie vous expose a d’autres problemes non corriges, alors planifiez la migration.
3. Verifiez toute compromission existante avant de considerer le site comme sain. Corriger ferme le point d’entree ; cela ne supprime pas ce qu’un attaquant a pu deposer avant le correctif. Dans la liste des profils JCE Editor (Composants > JCE Editor > Profils d’editeur), cherchez tout profil que vous n’avez pas cree. Un profil illegitime aura souvent un nom aleatoire genere automatiquement et peut apparaitre en haut de la liste. Dans les journaux d’acces de votre serveur web, cherchez des requetes POST non authentifiees vers index.php?option=com_jce&task=profiles.import. La premiere entree correspondante indique quand le site a ete atteint pour la premiere fois. Dans vos repertoires images, media et tmp, cherchez des fichiers PHP que vous n’avez pas deposes.
4. Si vous trouvez des signes de compromission, suivez l’ordre de remediation. Conservez une copie de tout profil et fichier suspects avant de les supprimer. Mettez a jour vers 2.9.99.6 en premier pour fermer le point d’entree. Supprimez le profil illegitime et tous les fichiers telecharges via celui-ci. Reiniialisez tous les mots de passe administrateur, les identifiants de base de donnees et les acces d’hebergement ou FTP. Faites de meme sur tout autre site ou ces identifiants ont ete reutilises. Effectuez une analyse complete des logiciels malveillants cote serveur. Si vous avez besoin d’une base saine, restaurez depuis une sauvegarde anterieure a la premiere entree de journal correspondante.
5. L’echeance federale de remediation est le 19 juin 2026. Elle s’applique aux agences federales americaines selon la BOD 26-04, mais constitue une echeance raisonnable pour toute organisation.

Comment elle est exploitee

Le chemin d’attaque est direct : une requete HTTP POST non authentifiee vers index.php?option=com_jce&task=profiles.import cree un profil d’editeur configure pour autoriser le telechargement de fichiers PHP et autres fichiers executables. Une seconde requete depose un webshell, generalement dans le repertoire images du site, qui est le chemin de telechargement par defaut lorsqu’aucun chemin n’est specifie dans le profil. Widget Factory a confirme le 3 juin 2026 que le code d’exploitation est public et que l’exploitation est automatisee.

La CISA a ajoute CVE-2026-48907 au catalogue KEV le 16 juin 2026, confirmant l’exploitation dans la nature. L’utilisation connue dans des campagnes de rancongiciels est indiquee comme Inconnue dans le catalogue a ce stade.

Le score CVSS 4.0 de base est 10.0 (CRITIQUE), vecteur CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:A, selon l’equipe de securite de Joomla au NVD. Le marqueur de maturite d’exploitation “Attacked” (E:A) reflète l’exploitation active confirmee. L’EPSS n’etait pas encore calcule pour cette CVE au moment de la publication ; la fiche NVD a ete publiee le 5 juin 2026, et les scores EPSS sont mis a jour periodiquement par FIRST.

Comment VulnMonitor aide

VulnMonitor maintient un inventaire logiciel en direct sur l’ensemble de votre parc. Quand la CISA a ajoute CVE-2026-48907 au catalogue KEV le 16 juin, VulnMonitor a rapproche cette entree de votre inventaire et l’a classee par statut KEV et severite. Si un actif fait tourner JCE inferieur a 2.9.99.6, cela remonte dans votre file d’attente immediatement plutot qu’a l’occasion d’un scan programme. Cela ne supprime pas un webshell ni n’arrete une attaque en cours ; corriger et remedier apres compromission sont les actions requises. Savoir quels sites sont exposes est la premiere etape, et cette question ne devrait pas prendre des heures.

Mises a jour

• 2026-06-17, 02:00 UTC Publication initiale. CVE-2026-48907 ajoutee au KEV de la CISA le 16 juin 2026. Score CVSS 4.0 : 10.0 CRITIQUE. Corrigee dans JCE 2.9.99.6 ; correctif gratuit disponible pour 2.7.x/2.8.x/2.9.x sur l’avis Widget Factory.