CISA ha aggiunto CVE-2026-48907 al Known Exploited Vulnerabilities (KEV) catalog il 16 giugno 2026, confermando exploitation attiva di una falla nel Joomla Content Editor (JCE) che consente esecuzione remota di codice senza autenticazione. Il 19 giugno 2026 è la deadline per le agenzie Federal Civilian Executive Branch (FCEB) sotto il Binding Operational Directive 26-04: non basta patchare, occorre verificare se il sistema è già stato compromesso.
- CVE-2026-48907 ha CVSS v4.0 10.0: attacco da rete, nessun privilegio richiesto, impatto totale su confidenzialità, integrità e disponibilità secondo il record ufficiale CVE.org.
- La vulnerabilità risiede nel componente JCE di Widget Factory, non nel core Joomla: improper access control permette a utenti non autenticati di creare profili editor e caricare codice PHP arbitrario.
- Le versioni affette vanno dalla 1.0.0 alla 2.9.99.4; la patch 2.9.99.5 è disponibile dal 3 giugno 2026, con hardening aggiuntivo nella 2.9.99.6.
- CISA impone alle agenzie federali USA verifica post-exploitation oltre all'applicazione della patch, elevando l'overhead operativo da aggiornamento a indagine forense.
Il meccanismo: tre weakness che aggirano i controlli Joomla
La ricerca di YesWeHack ha ricostruito la catena tecnica con precisione. L'endpoint vulnerabile è /index.php?option=com_jce&task=profiles.import, raggiungibile con una semplice richiesta POST. Il primo anello mancante è l'autorizzazione: la funzione profiles.import non chiama né Factory::getUser() né il controllo $user->authorise(...). Come riporta la ricerca, "the only gate was a CSRF token check", ottenibile trivialmente dalla homepage del sito.
Il secondo difetto riguarda la validazione del file caricato. Joomla utilizza File::makeSafe per sanificare i nomi, ma questa funzione non filtra l'estensione .php. Il terzo elemento è la chiamata a File::upload($source, $destination, false, true): l'ultimo parametro $allow_unsafe=true, come documenta YesWeHack, "explicitly disabled Joomla's built-in extension safety net".
Il file caricato viene scritto nella directory tmp/ con estensione preservata. Nelle configurazioni Joomla predefinite, questa directory è accessibile pubblicamente con esecuzione PHP abilitata. La combinazione dei tre difetti trasforma una funzionalità amministrativa esposta in un vector di remote code execution pre-autenticazione.
La patch: cosa cambia nella 2.9.99.5 e nella 2.9.99.6
La versione 2.9.99.5, rilasciata il 3 giugno 2026, introduce quattro modifiche sostanziali al flusso di import. Viene aggiunto il controllo authorise('core.manage', 'com_jce') che richiede privilegi amministrativi. L'estensione viene limitata a una whitelist di .xml. Il parametro $allow_unsafe=true viene rimosso, ripristinando il controllo di sicurezza nativo di Joomla. Un limite di 512 KB viene imposto alla dimensione degli upload per contenere i payload.
La versione 2.9.99.6 aggiunge ulteriore hardening: protezione XXE nel parsing XML e filtro sulle chiavi XML permesse. Questa stratificazione di contromisure risponde alla natura concatenata della vulnerabilità, dove nessun singolo fix sarebbe sufficiente.
"Widget Factory Joomla Content Editor contains an improper access control vulnerability which could allow for upload and execution of PHP code via the creation of new editor profiles for unauthenticated users" — CISA KEV Catalog
BOD 26-04: la svolta forense di CISA
Il Binding Operational Directive 26-04, citato dall'avviso CISA del 16 giugno, stabilisce due aspetti vincolanti per le agenzie FCEB. Il primo è la deadline di remediation rapida: la patch deve essere applicata entro il 19 giugno 2026. Il secondo, meno routinario, è l'obbligo di "basic expectations for when agencies must check whether threat actors compromised the system before the patch was applied".
Questo requisito segna un'evoluzione nel modello operativo di CISA. Non più semplice gestione delle patch, ma verifica preliminare dello stato di compromissione. Per le agenzie federali significa attivare procedure foren sui sistemi che ospitano JCE prima di considerare l'incidente chiuso. L'impatto operativo è significativo: la remediation passa da aggiornamento software a indagine di sicurezza.
Cosa fare adesso
Le organizzazioni con infrastrutture Joomla devono identificare tutte le installazioni del componente JCE di Widget Factory e verificarne la versione. Le istanze dalla 1.0.0 alla 2.9.99.4 sono vulnerabili e richiedono aggiornamento prioritario alla 2.9.99.5 o superiore.
Gli enti federali USA devono completare l'applicazione della patch entro il 19 giugno 2026 per mantenere la compliance BOD 26-04. La verifica post-exploitation è requisito vincolante, non opzionale.
Per tutte le altre organizzazioni, l'aggiunta al catalogo KEV con CVSS 10.0 e exploitation attiva confermata eleva la priorità da "pianificabile" a "immediata". L'EPSS score inferiore all'1% su OpenCVE non attenua il rischio: il catalogo KEV indica exploitation documentata, rendendo la probabilità di attacco effettiva certa per gli asset esposti.
La versione 2.9.99.6 è preferibile alla 2.9.99.5 dove fattibile, data la presenza di contromisure hardening aggiuntive che riducono la superficie di attacco residua.
Il problema del componente "dimenticato"
JCE è descritto da YesWeHack come il più popolare editor per Joomla e una delle estensioni più installate. La sua ubiquità è parte del problema. I componenti di terze parti in CMS come Joomla o WordPress operano spesso fuori dai processi di patching centralizzati: l'amministratore di sistema aggiorna il core, ma i plugin rimangono indietro. L'assenza di visibilità IT su questi elementi — il "forgotten endpoint" — crea una classe di vulnerabilità sistematicamente sottostimata.
La natura pre-autenticazione della falla elimina qualsiasi barriera di accesso. Non servono credenziali rubate, nessun phishing, nessuna compromissione preliminare. Un assetto esposto a internet è raggiungibile direttamente. La gravità massima del CVSS riflette questa combinazione di accessibilità e impatto totale.
Non emergono sovrapposizioni infrastrutturali che colleghino gli operatori attivi a specifici attori di minaccia allo stato attuale. CISA classifica il contesto di exploitation come "Unknown" per quanto riguarda campagne ransomware o altre modalità. La scala geografica, i settori colpiti e il numero esatto di installazioni compromesse non sono documentati nelle fonti disponibili.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://thehackernews.com/2026/06/cisa-warns-of-actively-exploited-joomla.html
- https://windowsforum.com/threads/cve-2026-48907-kev-joomla-jce-improper-access-control-exploited-patch-now.427091/
- https://www.yeswehack.com/news/rce-joomla-content-editor-extension
- https://app.opencve.io/cve/CVE-2026-48907
- https://www.cve.org/CVERecord?id=CVE-2026-48907
- https://nvd.nist.gov/vuln/detail/CVE-2026-48907
- https://www.cisa.gov/news-events/alerts/2026/06/16/cisa-adds-one-known-exploited-vulnerabilities-catalog
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog
- https://www.cisa.gov/news-events/alerts/2026/06/16/cisa-adds-one-known-exploited-vulnerability-catalog