Apa yang terjadi
CISA menambahkan CVE-2026-48907 (CVSS 10.0) ke katalog Known Exploited Vulnerabilities pada 16 Juni 2026, dengan mengutip eksploitasi aktif yang telah dikonfirmasi. Kerentanan ini adalah kerentanan kontrol akses yang tidak tepat dalam ekstensi editor JCE untuk Joomla yang memungkinkan pengguna tanpa autentikasi membuat profil editor dan menyalahgunakan fitur impor profil untuk mengunggah dan mengeksekusi kode PHP, menghasilkan RCE tanpa autentikasi pada server web.
Mengapa penting
Meskipun JCE adalah komponen CMS umum daripada infrastruktur spesifik AI, komponen ini disertakan sesuai dengan aturan cakupan KEV (penambahan CISA KEV adalah sinyal operasional Tier A). Situs Joomla semakin banyak menampung plugin chatbot AI, alat generasi konten AI, dan integrasi pencarian bertenaga AI; web shell pada host Joomla dapat membahayakan kunci API AI dan kredensial yang disimpan dalam konfigurasi CMS.
Vektor serangan
Penyerang tanpa autentikasi membuat profil editor baru melalui endpoint pembuatan profil JCE (tidak memerlukan login karena kontrol akses yang tidak tepat), kemudian menyalahgunakan fitur impor profil untuk mengunggah dan mengeksekusi kode PHP arbitrer di server — menghasilkan akses web shell penuh.
Sistem yang terdampak
Widget Factory Joomla Content Editor (JCE) — ekstensi editor yang paling banyak dipasang untuk CMS Joomla
Mitigasi
Terapkan patch keamanan JCE segera sesuai dengan pemberitahuan vendor. Tanggal jatuh tempo federal CISA: 19 Juni 2026. Lihat: https://www.joomlacontenteditor.net/news/jce-security-update-and-a-free-patch-for-older-sites