Auf den Punkt: CVE-2026-48907 in Joomla JCE ermöglicht unauthentifizierte Code-Ausführung mit CVSS 10.0 und wird aktiv ausgenutzt, parallel laufen groß angelegte WordPress-Angriffsserien über manipulierte Plugins.
Die US-Sicherheitsbehörde CISA hat die Schwachstelle CVE-2026-48907 im Joomla Content Editor (JCE) in ihren Katalog aktiv ausgenutzter Lücken aufgenommen. Die Anfälligkeit mit CVSS 10.0 ermöglicht es Angreifern, PHP-Code ohne Authentifizierung auszuführen.
Die Schwachstelle resultiert aus unzureichender Zugriffskontrolle im Widget Factory Joomla Content Editor. Angreifer können durch Erstellung neuer Editor-Profile das Hochladen und Ausführen von PHP-Code ermöglichen, ohne sich authentifizieren zu müssen. Betroffen sind die JCE-Versionen 1.0.0 bis 2.9.99.4.
Das Sicherheitspatch wurde bereits am 3. Juni 2026 mit Version 2.9.99.5 veröffentlicht. Wegen aktiver Ausbeutung wurden US-Bundesbehörden verpflichtet, das Update bis zum 19. Juni 2026 zu installieren. CISOs sollten Joomla-Installationen mit JCE sofort auf Gefährdung überprüfen und ein Update auf die gepatchte Version einleiten.
Parallel dokumentierten Sicherheitsforscher von Sansec eine großangelegte Kampagne gegen über eine Million WordPress-Websites. Betroffen sind Nutzer der Plugins OptinMonster, TrustPulse und PushEngage. Die Angreifer injizieren JavaScript-Code, der auf Administrator-Anmeldungen wartet, um anschließend ein administratives Backdoor-Konto einzurichten und ein verstecktes Plugin zu installieren.
Eine weitere Variante nutzt ein gefälschtes Plugin namens Beloved PBN Entegrasyonu. Dieses sendet bei jedem Seitenaufruf die Website-URL an einen externen Server und injiziert dort abgerufenen Code in den Fußbereich. Nach Analysen von Sucuri ermöglichte dieser Zugang Angreifern, PHP-Webshells direkt in WordPress-Datenbankeinträgen abzulegen und so vollen Lese- und Schreibzugriff auf das Dateisystem zu erlangen.
Die Kampagnen werden einem türkischsprachigen Akteur zugeordnet und dienen einem SEO-Monetarisierungsmodell: Kompromittierte Websites werden um Links von privaten Blog-Netzwerken (PBN) ergänzt, was zu Suchergebnis-Abstrafungen führen kann und den Webseitenbetreibern wirtschaftlichen Schaden zufügt.
Quelle: www.it-daily.net · Erschienen 18. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.