Impatto Sistemico

Critico (79.48)

Sintesi

Rilevato sfruttamento attivo in rete della CVE-2026-48907 – già sanata dal vendor – presente nel plugin Joomla Content Editor (JCE) estensione per il noto CMS Joomla! utilizzata per la gestione avanzata dei contenuti, Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato remoto di eseguire codice arbitrario sui sistemi interessati

Tipologia

Remote Code Execution

Descrizione e potenziali impatti

È stato rilevato lo sfruttamento attivo in rete della CVE-2026-48907 , vulnerabilità è presente nell’estensione Joomla Content Editor (JCE) noto plugin per CMS Joomla!

Tale vulnerabilità – con CVSS v4.0 pari a 10.0 – è dovuta a controlli di accesso non adeguati relativi alla funzionalità di importazione dei profili editor. Un attaccante remoto non autenticato potrebbe sfruttare la vulnerabilità presente nell’endpoint /index.php?option=com_jce&task=profiles.import per creare nuovi profili JCE non autorizzati e abilitare il caricamento di file PHP opportunamente predisposti, ottenendo, potenzialmente, l’esecuzione di codice arbitrario sul server interessato.

Prodotti e/o versioni affette

Joomla Content Editor:

versioni precedenti alla 2.9.99.5

Azioni di mitigazione

Ove non provveduto, si raccomanda di aggiornare tempestivamente i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.