CISA setzt US-Behörden Frist für Patch gegen aktiv ausgenutzte JCE-Lücke

Zusammenfassung

Die US-Behörde CISA hat Bundesbehörden angewiesen, eine aktiv ausgenutzte Schwachstelle mit der Höchstwertung im Joomla-Plugin Widget Factory Joomla Content Editor (JCE) bis Freitag zu schließen. Die als CVE-2026-48907 geführte Lücke erlaubt laut CISA Angreifern ohne Privilegien, mit Angriffen geringer Komplexität Code auf Joomla-Installationen auszuführen, die das WYSIWYG-Editor-Plugin JCE verwenden. Nach Angaben der Behörde handelt es sich um eine fehlerhafte Zugriffskontrolle, über die nicht authentifizierte Nutzer durch das Anlegen neuer Editor-Profile PHP-Code hochladen und ausführen können. Das JCE-Sicherheitsteam hatte den Fehler bereits Anfang Juni mit JCE Pro 2.9.99.6 behoben und Nutzer aufgefordert, ihre Installationen umgehend zu aktualisieren. Am Dienstag nahm CISA die Schwachstelle in ihren Katalog bekannter, aktiv ausgenutzter Lücken auf und verpflichtete die Federal Civilian Executive Branch (FCEB) per Binding Operational Directive 26-04 zum schnellen Handeln.

CISA beschreibt CVE-2026-48907 als Schwachstelle in der Zugriffskontrolle von Widget Factory Joomla Content Editor. Betroffen sind Joomla-Umgebungen, die das JCE-WYSIWYG-Plugin einsetzen. Laut Behörde kann die Lücke ohne vorherige Authentifizierung ausgenutzt werden, um über neu angelegte Editor-Profile PHP-Code hochzuladen und auszuführen.

Das JCE-Sicherheitsteam hatte den Fehler Anfang Juni mit JCE Pro 2.9.99.6 geschlossen. Die Entwickler warnten dabei ausdrücklich, dass Nutzer sofort aktualisieren sollten: Die Schwachstelle werde aktiv ausgenutzt, funktionsfähiger Exploit-Code sei öffentlich verfügbar, und die Angriffe liefen automatisiert ab. Deshalb seien auch Websites ohne öffentliche Registrierung nicht automatisch geschützt.

Zugleich betonte das JCE-Team, dass ein Update nur den Zugangspunkt schließt, aber keine bereits kompromittierte Website bereinigt. Wer vor dem Einspielen des Updates angegriffen wurde, entfernt mit der Aktualisierung demnach nicht automatisch die vom Angreifer hinterlassenen Artefakte.

Für die Bereinigung kompromittierter Systeme empfiehlt das JCE-Team, zunächst die manipulierten Profile für weitere Untersuchungen zu sichern. Anschließend sollen Administratoren auf JCE 2.9.99.6 oder neuer aktualisieren, das vom Angreifer angelegte Profil löschen, sämtliche Passwörter ändern und dabei auch das Administratorkonto, die Datenbank der Website sowie das Hosting-Konto einbeziehen. Danach soll ein vollständiger serverseitiger Malware-Scan prüfen, ob weitere schädliche Werkzeuge oder Implantate abgelegt wurden.

Am Dienstag nahm CISA die Lücke in ihre Liste aktiv ausgenutzter Schwachstellen auf. Gleichzeitig ordnete die Behörde an, dass FCEB-Behörden ihre Systeme bis Freitag absichern müssen. Grundlage ist die Binding Operational Directive 26-04.

CISA bezeichnet diese Art von Schwachstelle als häufigen Angriffsvektor böswilliger Akteure und warnt vor erheblichen Risiken für die Bundesverwaltung. Für Cloud-Dienste sollen Behörden die jeweils anwendbaren Vorgaben aus BOD 26-04 befolgen; falls keine Gegenmaßnahmen verfügbar sind, soll das Produkt nicht weiter genutzt werden. Zudem seien die verantwortlichen Stellen dafür zuständig, die Internet-Erreichbarkeit jedes einzelnen Assets zu bewerten und die Patch-Vorgaben aus BOD 26-04 einzuhalten.

BOD 26-04 wurde laut CISA in der vergangenen Woche veröffentlicht. Die Richtlinie verlangt von US-Regierungsbehörden, das Patchen nach dem Ausnutzungsrisiko jeder einzelnen Schwachstelle zu priorisieren. Zu den von CISA genannten Bewertungsfaktoren gehören die Aufnahme in den Known Exploited Vulnerabilities Catalog, die öffentliche Erreichbarkeit verwundbarer Systeme, die Möglichkeit einer automatisierten Ausnutzung im großen Maßstab sowie die Frage, ob Angreifer dadurch teilweise oder vollständige Kontrolle über das Zielsystem erlangen können.

CISA setzt US-Behörden Frist für Patch gegen aktiv ausgenutzte JCE-Lücke

Ähnliche Artikel

Neueste Artikel