CMSアドオンであるJCEの重大な脆弱性を修正 Joomla

JCEでは(Joomla コンテンツエディター)は、エコシステム内で最も古く、最も人気のある拡張機能の1つです。 Joomla認証なしでプロファイルをインポートできる重大な脆弱性(CVE-2026-48907)が修正されました。攻撃者はこの脆弱性を悪用して、MIMEタイプチェックを無効にし、PHPスクリプトをサーバーにアップロードできるようにするプロファイルをインストールする可能性があります。また、攻撃者がこの脆弱性を悪用してWebシェルをインストールし、システムへのリモートアクセスを可能にしていることが確認されています。

この脆弱性は JCE 2.9.99.5 で修正され、その後、セキュリティ強化を含む 2.9.99.6 アップデートで修正されました。この脆弱性は JCE のすべてのバージョン ( Joomla 3へ Joomla 6) アップデートをインストールした後、システムが侵害されていないこと、および攻撃者によってバックドアが残っていないことを確認する必要があります。

管理画面の「コンポーネント」→「JCEエディター」→「エディタープロファイル」で、通常意味のない自動生成名が付いている偽プロファイルを確認できます。また、「許可されたファイル拡張子」設定でPHPファイルのアップロードが許可されていないことを確認し、プロファイルインポートURL(index.php?option=com_jce&task=profiles.import)へのリクエストがログに記録されていないか確認してください。サイト上にサードパーティ製の.htaccessファイルや、CMSによく見られる名前のファイルが存在する場合も、侵害の兆候である可能性があります。 WordPressとしない Joomla例えば、wp-config.phpやwp-cron.phpなど。

出所: オープンネット.ru

DDoS 保護機能を備えた信頼性の高いサイト用ホスティング、VPS VDS サーバーを購入する 🔥 DDoS攻撃対策付きの信頼性の高いウェブサイトホスティング、VPS/VDSサーバーを購入しましょう | ProHoster