CVE-2026-48907
Widget Factory Joomla Content Editor
2026-06-16
Widget Factory Joomla Content Editor contains an improper access control vulnerability which could allow for upload and execution of PHP code via the creation of new editor profiles for unauthenticated users.
Технический анализ и план устранения
Суть уязвимости
CVE-2026-48907 представляет собой критическую уязвимость типа Improper Access Control (недостаточный контроль доступа) в расширении Widget Factory Joomla Content Editor. Ошибка в логике проверки прав позволяет неавторизованным пользователям создавать новые профили редактора. Через эти профили злоумышленник может изменить настройки разрешенных расширений файлов, загрузить произвольный PHP-скрипт на сервер и выполнить его, что приводит к полному захвату системы (Remote Code Execution).
Как исправить
Обновите расширение Widget Factory Joomla Content Editor до последней стабильной версии, в которой устранена данная ошибка.
https://widgetfactory.com/downloads/joomla-content-editor/latest.zip
Удалите подозрительные профили редактора через панель управления Joomla (Компоненты -> JCE Editor -> Profiles).
Проверьте директории загрузки на наличие вредоносных PHP-файлов.
find /var/www/html/images/ -name "*.php"
Временные меры
Если немедленное обновление невозможно, ограничьте доступ к административному интерфейсу компонента на уровне веб-сервера (например, через .htaccess или конфигурацию Nginx).
Отключите плагин Widget Factory Joomla Content Editor в менеджере расширений Joomla до момента установки патча.
Настройте правила Web Application Firewall (WAF) для блокировки POST-запросов к контроллеру профилей JCE от неавторизованных пользователей.
Запретите выполнение PHP-скриптов в директориях, предназначенных для загрузки медиафайлов.
<FilesMatch "\.php$">
Order Allow,Deny
Deny from all
</FilesMatch>
Пока никто не поделился опытом.
Станьте первым!