CVE-2026-48907 (CVSS 10.0) : faille d'exécution de code PHP sans authentification dans Joomla JCE. Ajoutée au CISA KEV le 17 juin 2026, attaques automatisées actives — patcher immédiatement vers JCE Pro 2.9.99.6.
En bref
- CVE-2026-48907 (CVSS 10.0) : exécution de code PHP sans authentification via Joomla Content Editor (JCE)
- Toutes les versions JCE Pro < 2.9.99.5 sont vulnérables — sites sans enregistrement public compris
- Ajouté au CISA KEV le 17 juin 2026 — deadline agences fédérales américaines : 19 juin 2026
Les faits
Le 17 juin 2026, la CISA a inscrit CVE-2026-48907 à son catalogue KEV (Known Exploited Vulnerabilities), confirmant l'exploitation active de cette faille de sévérité maximale affectant l'extension Joomla Content Editor (JCE) de Widget Factory. Les agences fédérales civiles américaines ont jusqu'au 19 juin 2026 pour appliquer le correctif — un délai d'urgence de 48 heures qui traduit la criticité immédiate de la situation.
CVE-2026-48907 est une faille de contrôle d'accès incorrect (improper access control, CVSS 10.0) permettant à un attaquant non authentifié d'exécuter du code PHP arbitraire. Le vecteur exploite le workflow d'importation de profils d'éditeur JCE : en soumettant un profil malveillant via l'endpoint d'import, l'attaquant désactive les contrôles de sécurité sur l'upload de fichiers et dépose un web shell persistant. La chaîne combine trois défauts superposés : absence d'autorisation sur l'endpoint d'import, validation de fichier insuffisante, et désactivation possible des contrôles d'upload via les paramètres du profil importé.
La faille a été corrigée le 3 juin 2026 dans JCE Pro 2.9.99.5, puis des protections supplémentaires ont été ajoutées dans la version 2.9.99.6 publiée le 6 juin 2026. Malgré deux semaines de disponibilité du correctif, des milliers d'installations restent exposées et font l'objet d'attaques automatisées en continu. Des scanners massifs parcourent Internet pour identifier les instances JCE vulnérables.
Widget Factory a publié une alerte explicite : « La vulnérabilité est activement exploitée, un exploit fonctionnel est public, et les attaques sont automatisées. Un site sans enregistrement public n'est pas protégé. » Cette précision est capitale : l'endpoint d'import de profil JCE est accessible sans compte utilisateur préalable, rendant toute restriction d'enregistrement inopérante comme défense.
JCE est l'une des extensions Joomla les plus déployées au monde, présente sur des millions de sites d'entreprises, administrations, médias et ONG. Sa popularité en fait une cible de choix pour les botnets de scan qui cherchent des versions non patchées. Les analyses publiées par les chercheurs de YesWeHack et Saptang Labs décrivent en détail la mécanique de l'exploit, désormais largement diffusée dans la communauté de la sécurité offensive.
Une fois le web shell déposé via CVE-2026-48907, les attaquants disposent d'un accès persistant au serveur web : exfiltration de données, pivot vers d'autres systèmes du réseau interne, installation d'un chargeur de ransomware. Les rapports de LinuxSecurity.com et SC Media documentent des campagnes ciblant spécifiquement des serveurs Linux, avec des délais entre compromission initiale et déploiement de charge utile secondaire parfois inférieurs à 24 heures.
CVE-2026-48907 s'inscrit dans un pattern préoccupant : en juin 2026, plusieurs extensions et plugins majeurs ont rejoint le CISA KEV en quelques jours — CVE-2026-54420 (LiteSpeed cPanel, CVSS 8.5) et la vulnérabilité Oracle PeopleSoft ont le même deadline du 18 juin 2026. Ces ajouts simultanés illustrent l'intérêt croissant des attaquants pour les composants tiers de la stack web, souvent moins bien maintenus que les CMS eux-mêmes mais intégrés dans des millions de déploiements.
Impact et exposition
Toutes les installations JCE Pro antérieures à 2.9.99.5 sont vulnérables, quelle que soit la configuration Joomla (enregistrement ouvert ou fermé). L'exploitation ne requiert ni identifiants, ni interaction utilisateur — un accès réseau au port 80/443 suffit. Les sites non patchés font face à un risque immédiat de compromission totale : prise de contrôle du serveur, vol de données, défacement ou déploiement de ransomware.
Recommandations
- Mettre à jour JCE Pro vers la version 2.9.99.6 immédiatement via le gestionnaire d'extensions Joomla
- Vérifier les logs Apache/Nginx pour toute requête POST suspecte vers les endpoints JCE depuis le 3 juin 2026
- Scanner les répertoires web à la recherche de fichiers PHP non reconnus créés récemment (web shells)
- Activer un WAF — les signatures pour CVE-2026-48907 sont disponibles sur ModSecurity, Cloudflare et Wordfence
- Révoquer tout compte administrateur Joomla non reconnu créé depuis fin mai 2026
- Si la mise à jour est impossible immédiatement : désactiver JCE et utiliser l'éditeur TinyMCE natif
Alerte critique
CVSS 10.0, exploitation automatisée, exploit public disponible. Tout site Joomla avec JCE Pro < 2.9.99.5 doit être considéré comme potentiellement compromis. Auditer les accès serveur depuis le 3 juin 2026 sans délai.
Mon site n'a pas d'enregistrement public — suis-je protégé contre CVE-2026-48907 ?
Non. CVE-2026-48907 ne nécessite aucun compte utilisateur. L'attaque cible l'endpoint d'import de profil JCE, accessible sans authentification. Désactiver l'enregistrement ne protège pas. Seule la mise à jour vers JCE Pro 2.9.99.6 ou la désinstallation temporaire de JCE offre une protection réelle.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
CVE-2026-54420 : escalade root via plugin LiteSpeed cPanel sur CloudLinux — CISA KEV
CVE-2026-54420 (CVSS 8.5) : le plugin LiteSpeed pour cPanel permet à tout utilisateur avec accès FTP ou web shell d'escalader ses privilèges jusqu'à root sur les serveurs mutualisés CloudLinux/CageFS. Exploitation active, ajouté au CISA KEV avec deadline 18 juin 2026.
DentaQuest : ShinyHunters publie 234 Go et expose 2,6 millions de dossiers médicaux
Le groupe ShinyHunters a publié 234 Go de données exfiltrées de DentaQuest après l'échec des négociations. 2,6 millions de dossiers exposés incluant PII et données de santé Medicaid — analyse et recommandations HIPAA.
Databricks Genie One : IA agentique SQL-first pour l'entreprise
Databricks lance Genie One au Data + AI Summit de juin 2026 : un agent IA ancré sur les données SQL via Genie Ontology pour éliminer les hallucinations et automatiser le travail des équipes métier.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire