Den amerikanske cybersikkerhetsmyndigheten CISA har pålagt føderale etater å utbedre en kritisk Joomla-sårbarhet innen fredag etter at angripere begynte å utnytte feilen. Myndigheten har lagt sårbarheten til i sin katalog over kjente aktivt utnyttede sårbarheter, som sporer sikkerhetsfeil angripere bruker i reelle angrep.

Sårbarheten, registrert som CVE-2026-48907, påvirker Joomla Content Editor (JCE)-utvidelsen. Sikkerhetsforskere advarer om at angripere kan utnytte feilen uten å logge inn eller kreve noen form for brukerinteraksjon. Denne kombinasjonen gjør problemet til en av de mest alvorlige Joomla-sårbarhetene som er offentliggjort i år.

Organisasjoner som bruker berørte versjoner, står overfor umiddelbar risiko dersom de utsetter oppdateringen.

Angripere kan overta sårbare servere

Forskere oppdaget at sårbarheten skyldes svakheter i JCEs funksjon for profilimport. Angripere kan misbruke funksjonen til å opprette ondsinnede profiler, laste opp skadelige PHP-filer og kjøre kode på sårbare systemer.

Angrepet krever ingen gyldige innloggingsopplysninger. Angripere kan gjennomføre utnyttelsen eksternt og oppnå omfattende kontroll over de berørte serverne. Forskerne ga sårbarheten maksimal CVSS-score på 10,0 på grunn av den alvorlige konsekvensen og den lave kompleksiteten.

Når angripere får tilgang, kan de installere skadevare, stjele sensitiv informasjon, endre innhold på nettsteder eller opprette bakdører for fremtidig tilgang. Sårbarheten gir trusselaktører en direkte vei inn i eksponerte systemer.

Sikkerhetseksperter forventer at angripere vil fortsette å skanne internett etter sårbare Joomla-installasjoner.

Offentlige exploit-verktøy øker risikoen

Forskere har allerede publisert proof-of-concept-kode for sårbarheten. Den offentlige tilgjengeligheten av slike exploit-verktøy øker trusselnivået betydelig fordi også mindre erfarne angripere nå kan rette seg mot sårbare nettsteder.

CISAs beslutning om å legge til sårbarheten i katalogen bekrefter at angripere aktivt utnytter feilen. Føderale etater må følge direktivet og sikre berørte systemer før fristen utløper.

Den utbredte bruken av JCE-utvidelsen øker også risikoen. Tusenvis av nettsteder benytter redigeringsverktøyet til innholdshåndtering, noe som skaper en stor gruppe potensielle mål.

Cyberkriminelle grupper handler ofte raskt etter at forskere publiserer detaljer om utnyttelse. Sikkerhetsteam har derfor et begrenset tidsvindu til å beskytte eksponerte systemer før angrepene blir enda mer utbredt.

Utviklerne har lansert sikkerhetsoppdateringer

JCE-utviklerne rettet sårbarheten i versjon 2.9.99.5 og introduserte ytterligere sikkerhetsforbedringer i versjon 2.9.99.6. Administratorer bør oppgradere umiddelbart dersom de ennå ikke har installert de nyeste versjonene.

Oppdateringen lukker sårbarheten, men organisasjoner bør ikke stoppe der. Angripere kan allerede ha kompromittert enkelte servere før administratorene rakk å installere sikkerhetsfiksen.

Sikkerhetsteam bør gjennomgå opplastede filer, kontrollere redigeringsprofiler og analysere serverlogger for mistenkelig aktivitet. De bør også undersøke uventede administratorkontoer, uautoriserte filopplastinger og uvanlig nettverkstrafikk.

Organisasjoner som oppdager tegn på kompromittering, bør iverksette en fullstendig hendelseshåndteringsprosess og bytte relevante legitimasjonsopplysninger ved behov.

Konklusjon

Joomla-sårbarheten CVE-2026-48907 utgjør en alvorlig trussel fordi angripere kan utnytte den uten autentisering og ta kontroll over sårbare servere. CISA har allerede bekreftet aktiv utnyttelse og pålagt føderale etater å handle raskt. Organisasjoner som bruker JCE-utvidelsen bør installere de nyeste oppdateringene umiddelbart og undersøke systemene sine for tegn på kompromittering. Forsinket utbedring kan gi angripere mulighet til å overta eksponerte miljøer.


0 responses to “Joomla-sårbarhet står overfor trussel om aktiv utnyttelse”