Memperbaiki kelemahan kritikal dalam JCE, alat tambah CMS Joomla

Dalam JCE (Joomla Editor Kandungan), salah satu sambungan tertua dan paling popular dalam ekosistem JoomlaKerentanan kritikal (CVE-2026-48907) yang membenarkan import profil tanpa pengesahan telah dibaiki. Penyerang boleh mengeksploitasi kerentanan ini untuk memasang profil yang melumpuhkan pemeriksaan jenis MIME dan membolehkan muat naik skrip PHP ke pelayan. Penyerang telah diperhatikan mengeksploitasi kerentanan ini untuk memasang cangkerang web, yang menyediakan akses jauh ke sistem.

Kerentanan tersebut telah dibaiki dalam JCE 2.9.99.5, diikuti dengan kemas kini 2.9.99.6 dengan pengerasan keselamatan. Kerentanan tersebut menjejaskan semua versi JCE (daripada Joomla 3 hingga Joomla 6) Selepas memasang kemas kini, anda harus memastikan bahawa sistem tidak dicerobohi dan tiada pintu belakang yang dipasang oleh penyerang.

Anda boleh menyemak profil palsu, yang biasanya mempunyai nama yang dijana secara automatik yang tidak bermakna, dalam antara muka pentadbir di bawah "Komponen" - "Editor JCE" - "Profil Editor." Anda juga harus memastikan bahawa muat naik fail PHP tidak dibenarkan dalam tetapan "Sambungan Fail yang Dibenarkan" dan menyemak log untuk permintaan ke URL import profil (index.php?option=com_jce&task=profiles.import). Kehadiran fail .htaccess pihak ketiga dan fail dengan nama tipikal untuk CMS di laman web ini juga mungkin menunjukkan pencerobohan. WordPressDan tidak Joomla, seperti wp-config.php dan wp-cron.php.

Sumber: opennet.ru

Beli pengehosan yang boleh dipercayai untuk tapak dengan perlindungan DDoS, pelayan VPS VDS πŸ”₯ Beli pengehosan laman web yang boleh dipercayai dengan perlindungan DDoS, pelayan VPS VDS | ProHoster