CVE-2026-48907 no editor JCE permite que atores não autenticados criem perfis maliciosos, enviem código PHP e mantenham webshells; a correção 2[.]9[.]99[.]5 não remove artefatos pós-comprometimento
| Componente | Extensão Widget Factory Joomla Content Editor (JCE) integrada ao CMS Joomla, ramos afetados de 1.0.0 a 2[.]9[.]99[.]4; correção disponível na versão 2[.]9[.]99[.]5 publicada em 3 de junho de 2026 |
| Vetor | Controle de acesso inadequado na funcionalidade de importação de perfis de editor, acessível sem autenticação via rota operacional com parâmetros com_jce e task profiles.import, permitindo criação de perfis arbitrários com capacidade de upload e execução de código PHP |
| Impacto | Execução arbitrária de código no servidor web; exploração ativa confirmada pela CISA e pelo ecossistema Joomla, com código de exploração público e ataques automatizados; observada cadeia que importa perfil rogue e implanta webshell persistente |
| Prioridade | Aplicar imediatamente JCE 2[.]9[.]99[.]5 ou superior, auditar perfis de editor e logs de requisições não autenticadas à importação de perfis, e tratar instalações já expostas como potencialmente comprometidas mesmo após patch |
| Versões | Vulneráveis: 1.0.0–2[.]9[.]99[.]4; corrigido: 2[.]9[.]99[.]5; prazo CISA para agências FCEB: 19 de junho de 2026 |
| Mitigação | Atualização do componente, caça a perfis suspeitos, revisão de logs do servidor web, resposta a incidente em sites que atualizaram após exploração |
A Cybersecurity and Infrastructure Security Agency dos Estados Unidos incluiu em seu catálogo Known Exploited Vulnerabilities a falha CVE-2026-48907, classificada com pontuação CVSS 10.0, no editor de conteúdo JCE da Widget Factory para Joomla. A CISA fundamentou a entrada citando evidências de exploração ativa em ambientes reais. A vulnerabilidade é categorizada como controle de acesso inadequado e pode viabilizar execução arbitrária de código PHP quando um ator consegue criar novos perfis de editor sem autenticação e utilizá-los para enviar conteúdo executável.
A descrição pública registrada no CVE.org confirma que o problema reside na extensão JCE e que a falha permite a criação de perfis de editor por usuários não autenticados, abrindo caminho para upload e execução de código PHP no contexto da aplicação web. O fabricante reconheceu em notas de release que controles de acesso insuficientes permitiam que usuários não autenticados fizessem upload de perfis de editor. A correção foi entregue na versão 2[.]9[.]99[.]5, lançada em 3 de junho de 2026.
O próprio projeto Joomla alertou que a vulnerabilidade está sendo explorada ativamente, que código de exploração já circula publicamente e que os ataques observados são automatizados. Segundo essa orientação, a ausência de registro público de usuários não elimina o risco: qualquer instalação exposta na internet permanece alvo potencial. Atualizar o componente fecha o vetor de entrada, mas não remove artefatos deixados por invasores em sites que foram comprometidos antes do patch.
Pesquisadores independentes relataram que a cadeia observada importa um perfil de editor malicioso e o utiliza para implantar webshell, estabelecendo backdoor persistente no servidor. Agências civis do Poder Executivo federal dos EUA receberam ordem de aplicar correções até 19 de junho de 2026. O mesmo material de contexto também registra campanhas paralelas contra ecossistemas WordPress, incluindo abuso de plugins populares e implantação de extensão falsa para monetização de backlinks em rede de blogs privados.
A superfície vulnerável concentra-se na gestão de perfis do JCE, funcionalidade destinada a definir regras e capacidades do editor WYSIWYG dentro do Joomla. Por falha de autorização, a tarefa de importação de perfis aceita operações iniciadas por atores não autenticados. Em condições normais, essa operação deveria restringir quem pode definir perfis capazes de manipular conteúdo e, implicitamente, influenciar o que pode ser carregado ou interpretado pelo editor.
O fluxo ofensivo documentado começa com uma requisição HTTP não autenticada direcionada à rota de importação de perfis do componente com_jce, identificada publicamente pelo parâmetro task profiles.import. A partir daí, o ator consegue registrar um perfil de editor sob controle externo. Esse perfil passa a funcionar como mecanismo para upload de artefatos PHP maliciosos dentro do fluxo legítimo do editor, contornando a expectativa de que apenas administradores autenticados possam alterar configurações sensíveis.
Com perfil malicioso ativo, observou-se implantação de webshell, conferindo persistência e canal de comando sobre o host web. A combinação de exploração pública, automação em massa e severidade máxima explica a inclusão imediata no catálogo KEV e a urgência imposta a ambientes governamentais. Para defesa, o ponto crítico é tratar a importação não autenticada de perfis como evento de alto valor investigativo, não como ruído de tráfego CMS.
Em paralelo, o contexto descreve uma campanha de cadeia de suprimentos documentada envolvendo plugins WordPress OptinMonster, TrustPulse e PushEngage, com injeção de JavaScript malicioso em mais de um milhão de sites. O script aguarda login de administrador, cria conta admin backdoor e instala plugin oculto. Outra linha de ataque usa extensão falsa Beloved PBN Entegrasyonu em site WordPress comprometido: a cada carregamento de página, a URL do site é sinalizada a API externa e HTML ou JavaScript arbitrário retornado é injetado no rodapé, além de webshells PHP armazenados como registros em wp_posts com interação HTTP não autenticada sobre o sistema de arquivos.
O impacto primário recai sobre instalações Joomla que executam JCE entre as versões 1.0.0 e 2[.]9[.]99[.]4, independentemente de políticas aparentemente restritivas de cadastro de usuários. Hospedagens compartilhadas, portais institucionais, blogs corporativos e ambientes de agências públicas que mantêm o componente desatualizado permanecem expostos enquanto a rota de importação de perfis estiver acessível na internet.
A correção 2[.]9[.]99[.]5 endereça o controle de acesso, mas instalações que sofreram exploração antes da atualização podem continuar hospedando webshells, perfis rogue ou modificações em arquivos e banco de dados. O contexto também amplia a superfície para administradores WordPress em sites que utilizam os plugins de marketing citados ou que apresentam sinais de extensão Beloved PBN Entegrasyonu e payloads residentes em wp_posts.
- Joomla com JCE 1.0.0 até 2[.]9[.]99[.]4 exposto a execução remota de PHP via perfis de editor
- Servidores web Linux ou Windows executando PHP sob o CMS, com persistência possível via webshell pós-exploração
- Sites WordPress com plugins OptinMonster, TrustPulse ou PushEngage potencialmente afetados por injeção JavaScript em cadeia de suprimentos
- Instalações WordPress com extensão falsa Beloved PBN Entegrasyonu, backlinks ocultos e shells PHP embutidos em registros de posts
Equipes de resposta devem priorizar a identificação de perfis de editor JCE criados ou modificados fora de janelas de manutenção conhecidas, especialmente perfis importados recentemente por origens não correlacionadas a administradores legítimos. Logs do servidor web e do Joomla devem ser correlacionados em busca de requisições não autenticadas à tarefa de importação de perfis do componente com_jce.
Em hosts suspeitos, a caça deve incluir arquivos PHP recém-escritos em diretórios acessíveis pela web, alterações de timestamp inconsistentes com deploys autorizados e processos filhos anômalos disparados pelo interpretador PHP. Para WordPress, revisar plugins recém-instalados ocultos, contas administrativas criadas sem ticket de change, JavaScript injetado aguardando sessão autenticada e registros em wp_posts contendo código PHP bruto executável via HTTP.
- Requisições GET ou POST não autenticadas para index.php com option com_jce e task profiles.import
- Perfis JCE desconhecidos, nomes atípicos ou importados em horários fora do padrão operacional
- Artefatos PHP de webshell em árvores tmp, cache, mídia ou pastas de extensão após exploração JCE
- Plugins WordPress não inventariados, contas admin novas e injeções de rodapé com links externos de PBN em todas as páginas
A resposta imediata para Joomla consiste em atualizar o JCE para a versão 2[.]9[.]99[.]5 ou superior e validar que nenhuma instância paralela ou backup restaurado reintroduz o ramo vulnerável. Após o patch, assume-se que o vetor de entrada está fechado, mas sites com indícios de exploração prévia exigem resposta a incidente completa: isolamento controlado, análise forense de perfis e arquivos, rotação de credenciais de banco e administrativas, e revisão de integridade do núcleo Joomla e extensões.
Organizações governamentais dos EUA alinhadas ao KEV devem documentar conformidade até 19 de junho de 2026. Para os cenários WordPress descritos no mesmo contexto, a mitigação inclui verificar integridade dos plugins citados, remover extensões não autorizadas, auditar wp_posts em busca de payloads PHP, bloquear comunicações beacon para APIs externas desconhecidas e revisar Search Console por penalidades manuais decorrentes de links ocultos injetados.
- Atualizar JCE para 2[.]9[.]99[.]5+ e confirmar ausência de ramos antigos em staging ou snapshots
- Auditar e remover perfis de editor suspeitos; preservar evidências antes da limpeza
- Executar varredura de webshell e revisar logs web em busca da rota profiles.import sem sessão autenticada
- Em WordPress, remover Beloved PBN Entegrasyonu, validar plugins de marketing e eliminar shells em wp_posts e contas admin rogue
0 Comentários