Joomla JCE CVE-2026-48907: CVSS 10, jetzt patchen

Wer seine Website mit Joomla und dem beliebten Editor JCE betreibt, sollte jetzt nicht weiterlesen, sondern erst patchen — und dann weiterlesen. Eine neue Lücke mit dem Höchstwert CVSS 10.0 lässt Angreifer ohne Login die volle Kontrolle übernehmen.

DER GAU: Vom offenen Endpunkt zur Server-Übernahme

Die Schwachstelle CVE-2026-48907 steckt in der JCE-Editor-Erweiterung. Der Kern des Problems: Ein AJAX-Endpunkt prüft keine Anmeldung. Ein unangemeldeter Angreifer kann darüber ein neues Editor-Profil anlegen, die Upload-Funktion missbrauchen und am Ende eine PHP-Datei ins /tmp-Verzeichnis schieben und ausführen. Das ist die Lehrbuch-Kette von fehlender Autorisierung über schwache Datei-Prüfung bis zur Remote Code Execution — also fremdem Code auf deinem Server.

WARUM CVSS 10 KEINE PANIKMACHE IST

Der Höchstwert von 10.0 nach CVSS v4 kommt zustande, weil der Angriff keine Anmeldung und keine Nutzer-Interaktion braucht und direkt zur Code-Ausführung führt. Schlimmer geht es kaum. Und es ist kein theoretisches Risiko: Die US-Behörde CISA hat die Lücke am 16. Juni in ihren KEV-Katalog aufgenommen — den Eintrag bekommt nur, was nachweislich aktiv ausgenutzt wird. Öffentliche Exploit-Bausteine kursieren bereits.

SO RETTEST DU DEINE SEITE IN 5 MINUTEN

Der wichtigste Schritt zuerst: JCE auf 2.9.99.6 oder neuer aktualisieren. Version 2.9.99.5 schloss die Lücke, 2.9.99.6 legte eine zusätzliche Härtung nach. Prüfe im Backend unter Erweiterungen deine installierte Version — alles bis 2.9.99.4 ist verwundbar.

EXTRA-TIPP: Sperre auf Webserver-Ebene die PHP-Ausführung im /tmp-Verzeichnis und den direkten Web-Zugriff darauf. Dann verpufft ein hochgeladenes Schadskript, selbst wenn künftig eine ähnliche Lücke auftaucht. Wirf außerdem einen Blick in deine Logs und temporären Ordner: Tauchen dort unbekannte PHP-Dateien auf, war womöglich schon jemand da.

FAZIT: Eine 10er-Lücke, die aktiv ausgenutzt wird und ohne Login zur Server-Übernahme führt — das duldet keinen Aufschub. Update einspielen, /tmp absichern, Logs prüfen.

Häufige Fragen

Welche Versionen sind betroffen?

Verwundbar ist die JCE-Editor-Erweiterung für Joomla bis einschließlich Version 2.9.99.4. Behoben wurde die Lücke in 2.9.99.5, eine zusätzliche Härtung kam mit 2.9.99.6. Joomla selbst im Kern ist nicht das Problem — es geht um die populäre Editor-Erweiterung JCE.

Wie merke ich, ob meine Seite verwundbar ist?

Prüfe im Joomla-Backend unter Erweiterungen die installierte JCE-Version. Steht dort 2.9.99.4 oder älter, bist du angreifbar. Da ein öffentlicher Proof-of-Concept und Nuclei-Templates kursieren, solltest du außerdem deine /tmp-Verzeichnisse und Logs auf unbekannte PHP-Dateien und verdächtige Uploads kontrollieren.

Wie behebe ich das Problem konkret?

Aktualisiere die JCE-Erweiterung umgehend auf 2.9.99.6 oder neuer. Als zusätzliche Absicherung solltest du auf Webserver-Ebene die PHP-Ausführung im /tmp-Verzeichnis unterbinden und den direkten Web-Zugriff darauf sperren. So läuft ein hochgeladenes Schadskript selbst dann ins Leere, wenn eine ähnliche Lücke wieder auftaucht.

Gab es schon aktive Angriffe?

Ja. Die US-Behörde CISA hat CVE-2026-48907 am 16. Juni in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) aufgenommen — das setzt sie nur bei belegter aktiver Ausnutzung. Wer noch nicht gepatcht hat, sollte das als akut behandeln.

Quellen: CISA KEV-Katalog (16.06.2026), YesWeHack (Unauthenticated RCE in Joomla Content Editor), CVE-Datenbanken zu CVE-2026-48907.

JOOMLA-NOTSTAND! Diese Editor-Lücke schenkt Hackern JETZT die KOMPLETTE Seite — CVSS 10, sofort patchen