Origine : bjCSIRT

Numéro : 2026/ALERTE/055

APERÇU :
Une vulnérabilité affectant l’extension Joomla Content Editor (JCE) du Framework Joomla permettrait à un acteur malveillant non authentifié d’exécuter du code à distance sur les systèmes affectés.

DESCRIPTION

Joomla Content Editor (JCE) est une extension populaire du CMS Joomla, dédiée à la création et à l’édition avancée de contenus.

Cette extension est affectée par une vulnérabilité libellée CVE-2026-48907 résultant d’une absence de contrôle d’accès sur la fonctionnalité d’importation de profils. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant non authentifié de contourner le filtrage des extensions de fichiers afin de téléverser et d’exécuter un fichier PHP malveillant dans les répertoires du site affecté.

Elle est classée critique avec un score de sévérité de 9.8 selon le CVSS V3.1.

IMPACT

• Exécution de code arbitraire sans authentification ;
• Prise de contrôle totale du serveur web hébergeant l’application ;
• Atteinte à la confidentialité et à la disponibilité des données ;
• Compromission de l’intégrité du système.

SYSTEMES AFFECTÉS 

Toutes les versions de l’extension JCE de Joomla antérieures à la version 2.9.99.5.

 MESURES À PRENDRE :

Mettre à jour l’extension JCE vers la dernière version stable disponible.

RÉFÉRENCES :

• https://nvd.nist.gov/vuln/detail/CVE-2026-48907
• https://pentest-tools.com/vulnerabilities-exploits/joomla-jce-extension-29995-unauthenticated-rce_29393
• https://www.yeswehack.com/news/rce-joomla-content-editor-extension
• https://github.com/advisories/GHSA-c3f5-4g7f-qjqj