2. Vulnerabilidad Critica (CVE-2026-48907) - Ejecución Remota de Código (RCE) en la extensión JCE para Joomla

Vulnerabilidad Critica (CVE-2026-48907) - Ejecución Remota de Código (RCE) en la extensión JCE para Joomla

Fecha de publicación: Vie, 19/06/2026 - 15:28

Alerta de seguridad

Nivel de peligrosidad: Crítico

Descripción

La vulnerabilidad CVE-2026-48907 reside en la funcionalidad de gestión de perfiles de la extensión JCE (Joomla Content Editor) debido a la falta de validación de sesión, rol o token en el punto de creación de perfiles. Esto permite a un atacante remoto no autenticado manipular las políticas de seguridad en tiempo de ejecución creando un perfil de editor controlado con permisos de carga de archivos expandidos. Una vez creado este perfil, el atacante puede cargar un archivo PHP camuflado como un activo permitido y lograr ejecución remota de código en el servidor web, obteniendo los mismos privilegios de la aplicación. Esta vulnerabilidad está siendo explotada de manera activa y automatizada en la naturaleza, y ha sido incorporada en el catálogo de Vulnerabilidades Conocidas Explotadas (KEV) de la CISA.

Recursos afectados

Todas las instalaciones de Joomla que utilizan la extensión Joomla Content Editor (JCE) en versiones anteriores a la 2.9.99.5.

Solución/Mitigación

Se debe aplicar inmediatamente el parche de seguridad suministrado por el desarrollador actualizando la extensión JCE a la versión 2.9.99.5 o superior (se recomienda la 2.9.99.6, que incluye mayor fortificación). Es importante destacar que actualizar la extensión cierra el punto de entrada, pero no elimina el acceso a los servidores que ya han sido comprometidos ni borra herramientas maliciosas como webshells que el atacante haya podido dejar.

Indicadores de compromiso

  • Entradas inusuales o no autorizadas en la tabla de perfiles del editor JCE creadas a partir de sesiones no autenticadas, frecuentemente con nombres de perfil sospechosos o generados aleatoriamente.
  • Creación de archivos desconocidos, especialmente aquellos con extensiones de script ejecutables (como .php o .phtml) o archivos ocultos, dentro de los directorios de carga de imágenes, archivos temporales o medios controlados por JCE.
  • Registros de acceso web (logs) que muestran un patrón anómalo de peticiones secuenciales rápidas: una solicitud HTTP inicial dirigida a la importación o manipulación de perfiles, seguida casi inmediatamente (en el mismo segundo) por otra solicitud destinada a la carga de un archivo, a menudo con parámetros inyectados inusuales.
  • Tráfico de red sospechoso, como conexiones salientes desde el proceso del servidor web (por ejemplo, PHP o Apache) hacia infraestructuras externas no reconocidas, ocurriendo inmediatamente después de una actividad de carga de archivos.

Recomendaciones

  • Auditar los perfiles de editor existentes en Joomla y eliminar cualquiera que no haya sido creado legítimamente, tomando una copia de seguridad previa para análisis forense.
  • Inspeccionar activamente los directorios de carga del servidor en busca de archivos PHP no autorizados y aislarlos.
  • Correlacionar el monitoreo de integridad de archivos con los registros de acceso web para identificar el patrón de "carga y ejecución" de scripts.
  • Rotar todas las credenciales de administrador de Joomla, los tokens de API y las contraseñas de la base de datos si se detecta cualquier indicador de compromiso.

Referencias