Skip to main content

Pengumuman

17 June 2026

CISA Beri Amaran: Kerentanan Kritikal Extension JCE Editor Sedang Dieksploitasi Secara Aktif, Membolehkan Pelaksanaan Kod PHP

Agensi Keselamatan Siber dan Infrastruktur Amerika Syarikat (CISA) pada hari Selasa telah menambah satu kerentanan keselamatan kritikal yang menjejaskan Joomla JCE Editor (JCE) ke dalam katalog Known Exploited Vulnerabilities (KEV) selepas terdapat bukti bahawa ia sedang dieksploitasi secara aktif oleh penyerang.

Kerentanan yang dikenal pasti sebagai CVE-2026-48907 dengan skor CVSS 10.0 (kritikal maksimum) berpunca daripada kelemahan kawalan akses yang tidak mencukupi, yang boleh membolehkan pelaksanaan kod sewenang-wenangnya (arbitrary code execution).

Menurut CISA:

"Widget Factory Joomla Content Editor mengandungi kerentanan kawalan akses yang tidak betul yang boleh membolehkan pemuatan naik (upload) dan pelaksanaan kod PHP melalui penciptaan profil editor baharu oleh pengguna yang tidak disahkan."

Berdasarkan penerangan yang diterbitkan di CVE.org, isu ini terletak dalam sambungan JCE Editor untuk Joomla. Penyerang boleh mencipta profil editor baharu tanpa perlu log masuk atau disahkan terlebih dahulu, seterusnya membolehkan mereka memuat naik dan menjalankan kod PHP berbahaya pada pelayan.

Kerentanan ini menjejaskan JCE versi 1.0.0 hingga 2.9.99.4. Ia telah diperbaiki dalam JCE versi 2.9.99.5 yang dikeluarkan pada 3 Jun 2026.

Dalam nota pelepasan kemas kini tersebut, JCE Editor menjelaskan bahawa:

"Kawalan akses yang tidak mencukupi telah membolehkan pengguna yang tidak disahkan memuat naik profil editor."

Serangan Sedang Berlaku Secara Aktif

Pasukan Joomla turut memberi amaran minggu lalu bahawa:

"Kerentanan ini sedang dieksploitasi secara aktif, kod eksploitasi telah tersedia secara umum, dan serangan dijalankan secara automatik. Oleh itu, laman web yang tidak membenarkan pendaftaran pengguna awam juga tidak selamat."

Mereka turut menegaskan bahawa:

"Mengemas kini JCE hanya menutup pintu masuk serangan, tetapi tidak membersihkan laman web yang telah dikompromi sebelum kemas kini dilakukan. Jika laman web anda telah digodam sebelum dikemas kini, kemas kini tersebut tidak akan membuang fail atau akses yang telah ditinggalkan oleh penyerang."

Tindakan Yang Disyorkan

Pengguna Joomla disarankan untuk:

  • Mengemas kini JCE kepada versi 2.9.99.5 atau lebih baharu dengan segera.

  • Menyemak kewujudan profil editor yang mencurigakan.

  • Mengaudit log akses pelayan web untuk permintaan tanpa pengesahan kepada URL berikut:

index.php?option=com_jce&task=profiles.import

Penyerang Menanam Web Shell

Menurut Phil E. Taylor dari mySites.guru, kerentanan ini sedang digunakan untuk mengimport profil editor berbahaya yang kemudiannya digunakan untuk memuat naik web shell ke dalam pelayan.

Web shell ini membolehkan penyerang:

  • Mendapat akses berterusan (persistent access) ke pelayan.

  • Menjalankan arahan sistem dari jauh.

  • Memuat naik atau memadam fail.

  • Mengambil alih laman web sepenuhnya.

Jika anda menggunakan Joomla dengan JCE Editor:

  1. Semak versi JCE anda sekarang.

  2. Kemas kini ke 2.9.99.5 atau versi lebih baharu dengan segera.

  3. Periksa log pelayan untuk aktiviti mencurigakan.

  4. Semak sama ada terdapat fail PHP asing atau akaun/profil editor yang tidak dikenali.

  5. Anggap laman web telah dikompromi jika terdapat tanda eksploitasi sebelum proses kemas kini dilakukan.