Eine kritische Schwachstelle im Joomla JCE Editor wurde heute bekannt. Wichtig: Es ist nicht nur die aktuelle Version betroffen, sondern alle Versionen die für Joomla 3, 4 , 5 , 6 genutzt werden. Die Sicherheitslücke ist gravierend und kann erheblich Folgen mit sich bringen, der Versand von Spam über Ihren Host ist dabei noch das kleinste Übel. Es besteht dringender Handlungsbedarf.
Updaten Sie daher, im eigenen Interesse, umgehend den JCE Editor auf Version 2.9.99.5 oder neuer.
Sofern bereits betroffen, sperren Sie umgehend Ihren Host mittels Serververwaltung. Alternativ erstellen Sie ein Datei mit dem Namen .htaccess und dem Inhalt Deny from all
Anschließend eröffnen Sie ein Support Ticket und informieren uns. Wir prüfen dann den Host und besprechen mit Ihnen das weitere Vorgehen.
Nutzen Sie keinesfalls die interne Joomla Funktion zum abschalten der Webseite bzw. den Wartungsmodus.
Wichtiger Hinweis: Das Update schließt zwar den Einfallstor, entfernt aber keine vollständige Bereinigung einer bereits kompromittierten Website. Falls Ihre Website vor dem Update von dieser Sicherheitslücke betroffen war, werden durch das Update lediglich die potenziell über den Einfallstor hinzugefügten Elemente entfernt, nicht jedoch die vom Angreifer hinterlassenen und von uns nicht überwachbaren Spuren.
Update 17.06.2026 CISA Warnung veröffentlicht
Die US-amerikanische Cybersicherheitsbehörde CISA hat am Dienstag eine Sicherheitslücke mit maximaler Schwere im Joomla Content Editor (JCE) von Widget Factory in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) aufgenommen. Als Grund wurden Hinweise auf aktive Ausnutzung genannt. Die Schwachstelle, die unter CVE-2026-48907 (CVSS-Score: 10,0) geführt wird, ist ein Fall unzureichender Zugriffskontrolle, der die Ausführung beliebigen Codes ermöglichen kann.
Onsdag, Juni 3, 2026
