CISA přidala do katalogu Known Exploited Vulnerabilities jeden nový záznam datovaný 16. června – zranitelnost v doplňku Joomla Content Editor od Widget Factory.

CVE-2026-48907 – Widget Factory Joomla Content Editor (přidáno 16. 6. 2026; ransomwarová vazba: neznámá)

Doplněk Joomla Content Editor (JCE) od Widget Factory obsahuje zranitelnost nesprávného řízení přístupu (CWE-284). Prostřednictvím ní může neautentizovaný útočník vytvořit nové editorské profily a následně nahrát a spustit PHP kód na postiženém serveru. Zranitelnost tedy umožňuje vzdálené spuštění kódu bez jakékoliv předchozí autentizace.

JCE je jedním z nejrozšířenějších rozšíření pro systém správy obsahu Joomla a jeho zranitelnost potenciálně postihuje velký počet webů provozovaných po celém světě. Záplata je dostupná od výrobce; Widget Factory zároveň nabízí bezplatnou opravu i pro starší verze doplňku, které již nejsou v aktivní podpoře – podmínky a postup jsou popsány na stránce bezpečnostní aktualizace JCE. Administrátoři webů provozujících JCE by měli okamžitě ověřit verzi doplňku a aktualizaci aplikovat; lhůta stanovená CISA pro federální úřady USA je velmi krátká (do 19. 6. 2026), což odráží závažnost zranitelnosti a riziko aktivního zneužití.