Im Zentrum der Warnungen steht zunächst CVE-2026-48907 im Joomla Content Editor (JCE) für Joomla. Der Fehler wird als unzureichende Zugriffskontrolle beschrieben und erlaubt es nicht authentifizierten Angreifern, Editor-Profile hochzuladen. Nach Angaben von Joomla wird die Schwachstelle genutzt, um beliebige Dateien auf Server hochzuladen, was anschließend die Ausführung beliebigen PHP-Codes ermöglicht.

Betroffen sind laut Hersteller alle JCE-Pro-Versionen vor 2.9.99.5. Die Schwachstelle wurde am 3. Juni behoben; zusätzliche Schutzmaßnahmen folgten mit Version 2.9.99.6 vom 6. Juni. Über das Wochenende forderte Joomla Administratoren auf, ihre Installationen so schnell wie möglich auf die neueste Version zu aktualisieren, und verwies darauf, dass CVE-2026-48907 bereits außerhalb kontrollierter Tests ausgenutzt wird.

Joomla warnte zudem, die Lücke werde aktiv ausgenutzt, funktionsfähiger Exploit-Code sei öffentlich verfügbar und die Angriffe liefen automatisiert ab. Deshalb seien auch Websites ohne öffentliche Registrierung nicht automatisch geschützt. Zusätzlich veröffentlichte das Projekt Kompromittierungsindikatoren, damit Administratoren ihre Systeme auf mögliche Einbrüche prüfen können.

Wichtig ist laut Joomla auch die Abgrenzung zwischen Schließen der Lücke und Bereinigung eines bereits kompromittierten Systems. Ein Update beseitige nur den Einstiegspunkt, entferne aber keine Spuren oder Hinterlassenschaften eines Angreifers auf bereits betroffenen Websites.

Die zweite Schwachstelle, CVE-2026-54420, betrifft das LiteSpeed-Benutzer-Plugin für cPanel. Dabei handelt es sich um einen Fehler beim Umgang mit UNIX-Symbolic-Links. Durch diese fehlerhafte Symlink-Behandlung können Nutzer mit FTP- oder Webshell-Zugang ihre Rechte auf gemeinsam genutzten Hosting-Servern mit CloudLinux/CageFS bis auf Root ausweiten.

LiteSpeed zufolge sind alle Versionen des Benutzer-Plugins vor 2.4.8 betroffen. Diese Version wurde am 1. Juni veröffentlicht. Nach Angaben des Herstellers wird die Schwachstelle seit Mai bereits praktisch ausgenutzt. LiteSpeed rät Kunden zu einer sofortigen Aktualisierung und verweist außerdem auf einen von den Maintainers bereitgestellten Befehl, mit dem sich prüfen lässt, ob Server kompromittiert wurden.

In dieser Woche nahm die US-Behörde Cybersecurity and Infrastructure Security Agency (CISA) sowohl die Joomla- als auch die LiteSpeed-Lücke in ihren KEV-Katalog auf. CISA forderte Bundesbehörden auf, die LiteSpeed-Schwachstelle bis zum 18. Juni und die Joomla-Lücke bis zum 19. Juni zu patchen.

Nach CISA-Vorgabe BOD 26-04 zählen Schwachstellen, die umgehend gepatcht werden müssen, zu den höchsten Risiken für Bundesbehörden, weil sie sich in automatisierten Angriffen missbrauchen lassen und zur Übernahme von Systemwerten führen können.