JCE-д (Joomla Контент засварлагч), экосистемийн хамгийн эртний бөгөөд хамгийн алдартай өргөтгөлүүдийн нэг JoomlaБаталгаажуулалтгүйгээр профайл импортлохыг зөвшөөрдөг чухал эмзэг байдлыг (CVE-2026-48907) зассан. Халдагч энэ эмзэг байдлыг ашиглан MIME төрлийн шалгалтыг идэвхгүй болгож, PHP скриптийг сервер рүү байршуулах боломжийг олгодог профайл суулгаж болно. Халдагчид энэ эмзэг байдлыг ашиглан системд алсаас хандах боломжийг олгодог вэб бүрхүүл суулгаж байгаа нь ажиглагдсан.
Эмзэг байдлыг JCE 2.9.99.5 хувилбарт зассан бөгөөд дараа нь аюулгүй байдлын сайжруулалттай 2.9.99.6 шинэчлэлт гарсан. Эмзэг байдал нь JCE-ийн бүх хувилбаруудад нөлөөлдөг (-с ... хүртэл). Joomla 3 хүртэл Joomla 6) Шинэчлэлтийг суулгасны дараа систем эвдэгдээгүй, халдагчид арын хаалга суулгаагүй эсэхийг шалгах хэрэгтэй.
Та "Components" - "JCE Editor" - "Redactor Profiles" гэсэн админ интерфэйс дээр ихэвчлэн утгагүй автоматаар үүсгэгдсэн нэртэй хуурамч профайл байгаа эсэхийг шалгаж болно. Мөн "Зөвшөөрөгдсөн файлын өргөтгөлүүд" тохиргоонд PHP файл байршуулахыг зөвшөөрөхгүй байгаа эсэхийг шалгаж, профайлын импортын URL (index.php?option=com_jce&task=profiles.import) руу хүсэлт гаргах бүртгэлийг шалгах хэрэгтэй. Гуравдагч талын .htaccess файлууд болон CMS-д зориулсан ердийн нэртэй файлууд сайт дээр байгаа нь мөн алдаа гарсан болохыг илтгэж болно. WordPress, үгүй ээ Joomla, жишээ нь wp-config.php болон wp-cron.php.
Эх сурвалж: opennet.ru
