Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Sicherheit & Datenschutz 18.06.2026 · 3 min Lesezeit

Joomla JCE: CISA warnt vor aktiv ausgenutzter RCE-Lücke

CISA führt CVE-2026-48907 im KEV-Katalog. Betroffen ist die JCE-Erweiterung für Joomla bis Version 2.9.99.4, Updates und Prüfungen sind dringend sinnvoll.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
IT News Grafik zur Joomla JCE Sicherheitslücke mit Warnung der CISA vor einer aktiv ausgenutzten Remote Code Execution Schwachstelle. Darstellung von Cyberangriff, Webserver, Sicherheitswarnung und kritischem Patch Management für Joomla Webseiten.

Die US-Cybersicherheitsbehörde CISA warnt vor aktiver Ausnutzung einer kritischen Schwachstelle in der Joomla-Erweiterung JCE, dem Joomla Content Editor. Die Lücke wird als CVE-2026-48907 geführt und betrifft laut NVD JCE-Versionen von 1.0.0 bis einschließlich 2.9.99.4. Für Administratoren von Joomla-Websites ist die Meldung relevant, weil JCE in vielen Installationen als Editor für Inhalte und Medien genutzt wird.

Der Kern des Problems ist ein Fehler in der Zugriffskontrolle. Nicht authentifizierte Angreifer können unter bestimmten Bedingungen neue Editor-Profile anlegen. Daraus kann die Möglichkeit entstehen, PHP-Dateien hochzuladen und anschließend Code auf dem Server auszuführen. NVD bewertet die Schwachstelle nach CVSS 3.1 mit 9.8 als kritisch; die CNA-Bewertung nach CVSS 4.0 liegt bei 10.0. CISA hat die Schwachstelle am 16. Juni 2026 in den Known Exploited Vulnerabilities Catalog aufgenommen und nennt aktive Ausnutzung.

Betroffene Systeme und verfügbare Updates

Betroffen sind Joomla-Websites, auf denen der Joomla Content Editor in Versionen vor 2.9.99.5 eingesetzt wird. Der Hersteller Widget Factory nennt JCE 2.9.99.5 als Sicherheitsupdate vom 3. Juni 2026 und empfiehlt inzwischen JCE Pro 2.9.99.6 oder neuer, weil dort zusätzliche Härtungen enthalten sind. Für ältere Installationen, die noch nicht auf aktuelle Joomla- und PHP-Versionen wechseln können, stellt der Hersteller ein separates Patch-Paket für JCE 2.7.x, 2.8.x und 2.9.x bereit. Diese Notlösung ersetzt jedoch keine Migration auf unterstützte Plattformversionen.

Wichtig ist die Unterscheidung zwischen Schließen der Lücke und Bereinigung eines bereits kompromittierten Systems. Ein Update verhindert neue Angriffe über den bekannten Einstiegspunkt, entfernt aber keine möglicherweise bereits angelegten Editor-Profile, Webshells oder andere Dateien. Betreiber sollten deshalb nicht nur aktualisieren, sondern auch nach Spuren suchen.

Was Administratoren prüfen sollten

Administratoren sollten zunächst die installierte JCE-Version erfassen und Installationen vor 2.9.99.5 priorisiert aktualisieren. Anschließend sollten die JCE-Editor-Profile kontrolliert werden. Verdächtig sind Profile, die nicht bewusst angelegt wurden, ungewöhnliche Namen tragen oder Uploads ausführbarer Dateitypen erlauben. Zusätzlich empfiehlt sich ein Blick in Webserver-Logs auf unauthentifizierte Aufrufe der Import-Funktion für Profile.

Auf Dateiebene sind insbesondere PHP-Dateien in Upload-Verzeichnissen ein Warnsignal. Findet ein Team unbekannte Dateien oder ein verdächtiges Editor-Profil, sollte der Zustand zunächst dokumentiert werden. Danach sind Aktualisierung, Entfernung des fremden Profils, Prüfung der hochgeladenen Dateien, ein Malware-Scan und die Rotation relevanter Zugangsdaten sinnvoll. Dazu zählen Administrator-Konten, FTP- oder SFTP-Zugänge, Datenbankkennwörter und Hosting-Zugänge. Bei gemeinsam genutzten Passwörtern sollten auch andere Systeme überprüft werden.

Einordnung für Unternehmen

Die Schwachstelle ist kein Randthema für reine Joomla-Spezialisten. Viele Unternehmenswebsites laufen über Agenturen, Managed-Hosting-Pakete oder historisch gewachsene CMS-Installationen. Gerade dort ist nicht immer transparent, welche Erweiterungen installiert sind und wer Updates tatsächlich ausführt. Die Aufnahme in den CISA-KEV-Katalog erhöht die Priorität, weil sie auf bekannte Ausnutzung in der Praxis hinweist.

Für IT-Verantwortliche im DACH-Raum ist deshalb eine kurze Bestandsaufnahme sinnvoll: Gibt es noch Joomla-Sites, welche Erweiterungen sind aktiv, wer betreut Updates, und werden Webserver-Logs lange genug aufbewahrt? Wenn externe Dienstleister zuständig sind, sollte die konkrete JCE-Version abgefragt und die Bereinigung möglicher Kompromittierungen ausdrücklich mitbeauftragt werden. Ein reines „Update erledigt“ reicht bei dieser Art von Lücke nicht aus.

Passende Anleitungen auf S-EDV

  1. CISA KEV-Katalog für Admins – Wie der KEV-Katalog bei der Patch-Priorisierung hilft, auch für diese Lücke relevant.
  2. Linux-Server absichern: UFW-Firewall und Fail2ban – Grundlagen für härtere Webserver-Umgebungen.
  3. Security-Awareness-Programm für KMU aufbauen – Mitarbeiter sensibilisieren, damit Angriffe früher erkannt werden.

Quellen

  1. Widget Factory: JCE security update, and a free patch for older sites
  2. CISA: Known Exploited Vulnerabilities Catalog zu CVE-2026-48907
  3. NVD: CVE-2026-48907 Detail
  4. BleepingComputer: CISA orders feds to patch max severity Joomla plugin flaw by Friday
Verwandt

Weiter lesen

Alle Artikel →
BSI Lagebild zur Cyberresilienz von KMU mit Server, Netzwerk und Cybersecurity Symbolen als Darstellung der dauerhaften organisatorischen Herausforderungen für kleine und mittlere Unternehmen.
18.06.2026 ·3 min

BSI-Lagebild: Cyberresilienz bleibt für KMU eine organisatorische Daueraufgabe

Das BSI betont seit Jahren die hohe Bedeutung von Cyberresilienz. Für KMU heißt das: Backups, Patchmanagement, Notfallpläne und Basisschutz müssen praktisch funktionieren.
Moderne IT News Grafik zum CISA Known Exploited Vulnerabilities Catalog mit Serverinfrastruktur, Cybersecurity Netzwerk und Sicherheitswarnungen für IT Administratoren zur Priorisierung aktiv ausgenutzter Schwachstellen.
18.06.2026 ·4 min

CISA KEV: Warum der Known Exploited Vulnerabilities Catalog für Admins Pflichtlektüre bleibt

Der CISA-KEV-Katalog bleibt eine der wichtigsten Quellen für aktiv ausgenutzte Schwachstellen. Auch deutsche KMU können daraus eine belastbare Patch-Priorisierung ableiten.
NIS2 IT News Grafik: Das BSI erinnert Unternehmen an die abgelaufene Registrierungspflicht und nennt Ende Juli als neue Erwartung für die NIS2 Registrierung. Dargestellt sind Serverinfrastruktur, Cybersicherheit und digitale Netzwerke in moderner Nachrich
18.06.2026 ·3 min

NIS2: BSI erinnert Unternehmen an abgelaufene Registrierungspflicht und nennt Ende Juli als neue Erwartung

Das BSI weist betroffene Unternehmen erneut auf die abgelaufene NIS2-Registrierungspflicht hin. Laut heise erwartet die Behörde die ausstehenden Registrierungen bis spätestens 31. Juli 2026.