Une faille critique affecte l’extension JCE pour Joomla

Une vulnérabilité critique référencée CVE-2026-48907 affecte l’extension Joomla Content Editor (JCE) dans ses versions 1.0.0 à 2.9.99.4. Une personne non authentifiée peut créer de nouveaux profils d’éditeur, puis téléverser et exécuter du code PHP sur le serveur.

Publiée le 5 juin 2026, la faille est classée 10/10 selon CVSS 4.0, soit le niveau de gravité maximal. Elle est corrigée à partir de JCE 2.9.99.5 avec un renforcement en 2.9.99.6 et 2.9.99.7. Les administrateurs de sites Joomla utilisant cette extension sont invités à la mettre à jour sans délai.

Le 16 juin 2026 la CISA (Cybersecurity and Infrastructure Security Agency) a intégré cette vulnérabilité dans sa liste des vulnérabilités connues et exploitées activement (KEV), confirmant ainsi son exploitation par des acteurs malveillants.

Source.