CISA hat die Schwachstelle CVE-2026-48907 am Dienstag in den KEV-Katalog aufgenommen. Die Behörde bezeichnet den Fehler in Widget Factory Joomla Content Editor als Schwachstelle mit unsachgemäßer Zugriffskontrolle, die die Ausführung beliebigen Codes ermöglichen kann. Konkret erklärte CISA, JCE enthalte einen Fehler, der es nicht authentifizierten Nutzern erlaube, durch das Anlegen neuer Editor-Profile PHP-Code hochzuladen und auszuführen.

Auch die bei CVE.org veröffentlichte Beschreibung ordnet das Problem der JCE-Editor-Erweiterung für Joomla zu. Demnach können Angreifer ohne Anmeldung neue Editor-Profile für nicht authentifizierte Nutzer erstellen und so die Voraussetzungen schaffen, um PHP-Code hochzuladen und auszuführen.

Betroffen sind JCE-Versionen von 1.0.0 bis einschließlich 2.9.99.4. Behoben wurde die Lücke in Version 2.9.99.5, die am 3. Juni 2026 veröffentlicht wurde. In den Versionshinweisen erklärte Widget Factory, unzureichende Zugriffskontrollen hätten es nicht authentifizierten Nutzern erlaubt, Editor-Profile hochzuladen.

Wie die Schwachstelle derzeit in freier Wildbahn ausgenutzt wird, ist nach dem vorliegenden Stand nicht bekannt. CISA hat jedoch Bundesbehörden der Federal Civilian Executive Branch angewiesen, die verfügbaren Updates bis zum 19. Juni 2026 einzuspielen.

Im Zusammenhang mit Web-Plug-ins und Erweiterungen verweist die Vorlage zudem auf weitere laufende Angriffe. So hat Sansec eine neue Supply-Chain-Angriffskampagne beschrieben, die auf mehr als 1 Million Websites mit den WordPress-Plug-ins OptinMonster, TrustPulse und PushEngage zielte. Die Angreifer schleusten dabei bösartiges JavaScript ein, das laut Sansec auf einen angemeldeten Administrator wartet, ein Admin-Hintertürkonto anlegt und ein sich selbst verbergendes Hintertür-Plug-in installiert.

In einer weiteren Kampagne kompromittierten unbekannte Angreifer nach diesen Angaben eine WordPress-Website, um ein gefälschtes WordPress-Plug-in namens „Beloved PBN Entegrasyonu“ einzubetten. Dieses meldete bei jedem Seitenaufruf unauffällig die URL der Website an eine externe Programmierschnittstelle und injizierte beliebiges HTML oder JavaScript, das der Server zurücklieferte, in die Fußzeile der Seite.

Wie die Angreifer in diese Website eindrangen, ist unklar. Der Zugriff ermöglichte es ihnen jedoch laut Bericht, zwei PHP-Web-Shells als roh ausführbaren Code in den Datenbankeinträgen von „wp_posts“ zu platzieren und über HTTP mit den Skripten zu interagieren. Dadurch erhielten sie uneingeschränkten Lese- und Schreibzugriff auf das gesamte Dateisystem des Servers, ohne dass eine Authentifizierung erforderlich war.

Sucuri-Forscherin Puja Srivastava erklärte, jeder Besucher der kompromittierten Website habe bei jedem Seitenaufruf in der Seitenquelle injizierte ausgehende PBN-Links erhalten. Das habe die Suchplatzierungen der Website unmittelbar beschädigt und das Risiko einer manuellen Maßnahme in der Google Search Console erhöht. Nach ihren Angaben wird die Kampagne von einem türkischsprachigen Bedrohungsakteur betrieben und basiert auf einem klassischen SEO-Monetarisierungsschema mit versteckter Backlink-Injektion für ein Private Blog Network, mutmaßlich mit Bezug zu Glücksspiel- und Erwachsenen-Affiliate-Nischen.