Joomla editor JCE patří mezi nejpoužívanější rozšíření pro správu obsahu v Joomla webech. Právě proto je jeho aktuální bezpečnostní problém velmi závažný. Pokud máte na webu nainstalovanou starší verzi JCE, doporučujeme provést kontrolu a aktualizaci okamžitě.
Podle oficiálního oznámení vývojáře byla ve verzi JCE 2.9.99.5 opravena kritická chyba, která umožňovala neautorizovaným uživatelům nahrát do webu editorový profil. Tento profil pak mohl být zneužit k nahrání libovolných souborů na server. Zranitelnost je evidována jako CVE-2026-48907 a podle NVD může vést až k nahrání a spuštění PHP kódu na serveru.
Proč je tato chyba nebezpečná
Problém se netýká pouze webů, které mají povolenou registraci uživatelů. Chybu bylo možné zneužít bez přihlášení. Útočník tedy nepotřeboval účet v administraci ani běžný uživatelský účet na webu.
Zneužití probíhá přes funkci importu profilů JCE. Editorový profil v JCE určuje mimo jiné oprávnění pro práci se soubory, povolené přípony a možnosti uploadu. Pokud útočník dokáže vytvořit vlastní škodlivý profil, může se pokusit povolit nahrávání nebezpečných souborů, například PHP skriptů, a tím získat kontrolu nad webem.
Bezpečnostní analýzy popisují scénář, kdy útočník vytvoří falešný editorový profil bez přihlášení a následně zneužije oprávnění profilu k nahrání a spuštění PHP kódu. Zranitelnost je hodnocena jako kritická.
2.9.99.6 on every site still on a vulnerable JCE
Důležité je neinstalovat pouze verzi 2.9.99.5, ale rovnou poslední dostupnou verzi JCE 2.9.99.6 nebo vyšší. Verze 2.9.99.5 opravila hlavní kritickou chybu, ale následná verze 2.9.99.6 přinesla další bezpečnostní audit, omezení vstupních bodů a zpřísnění validace vstupů. Vývojář JCE výslovně označuje verzi 2.9.99.6 jako silně doporučenou aktualizaci pro všechny weby.
Na oficiální stránce ke stažení je jako aktuální verze uvedena JCE 2.9.99.6, aktualizovaná 8. června 2026, určená pro Joomla 3.10, Joomla 4.x, Joomla 5.x a Joomla 6.x.
Zaměřte se hlavně na tyto body:
V administraci Joomly zkontrolujte Components → JCE Editor → Editor Profiles. Podezřelý je profil, který jste sami nevytvořili, má náhodný nebo nesmyslný název, případně je zařazený nezvykle vysoko v seznamu profilů.
Zkontrolujte nastavení povolených přípon u pluginů typu Image Manager nebo File Browser. Pokud profil povoluje upload PHP nebo jiných skriptovacích souborů, jde o velmi vážný varovný signál.
Projděte adresáře images, media a tmp. PHP soubory by se v těchto adresářích běžně nacházet neměly. Pokud tam objevíte neznámý PHP soubor, web je nutné považovat za kompromitovaný.
V access logu hledejte požadavky na:
index.php?option=com_jce&task=profiles.import
Oficiální doporučení JCE uvádí právě tento požadavek jako důležitý indikátor pokusu o zneužití importu profilů.
Co doporučujeme udělat okamžitě
Nejbezpečnější postup je aktualizovat JCE editor na poslední dostupnou verzi. V době psaní článku je to JCE 2.9.99.6.
V administraci Joomly přejděte do části pro aktualizace rozšíření, zkontrolujte dostupné aktualizace a proveďte aktualizaci JCE. Pokud se aktualizace nenabízí, zkontrolujte, zda je povolený update server JCE. U placené verze JCE Pro ověřte také platnost licence a správně nastavený subscription key.
Po aktualizaci doporučujeme:
- provést kontrolu JCE profilů,
- zkontrolovat podezřelé PHP soubory v adresářích images, media a tmp,
- projít access logy,
- změnit hesla administrátorů,
- změnit Joomla secret,
- spustit serverový antivirový nebo malware scan,
- zkontrolovat, zda web neobsahuje webshell nebo jiné zadní vrátka.
Co když nejde nainstalovat poslední verzi JCE
Některé starší weby běží na zastaralém PHP nebo staré verzi Joomly. JCE 2.9.99.6 vyžaduje podle vývojáře PHP 7.4 a Joomla 3.10 nebo novější. Pokud web tyto požadavky nesplňuje, nejde o dlouhodobě bezpečný stav. Staré PHP a stará Joomla znamenají další neopravené bezpečnostní problémy.
Pokud nelze JCE aktualizovat kvůli nízké verzi PHP, doporučujeme jednu z těchto možností:
1. Aktualizovat PHP a Joomla
Toto je správné dlouhodobé řešení. Web by měl běžet na podporované verzi PHP, podporované verzi Joomly a aktuálních verzích všech rozšíření.
2. Odinstalovat JCE editor
Pokud JCE na webu nutně nepotřebujete a nelze jej bezpečně aktualizovat, doporučujeme editor raději odinstalovat. Nepoužívané nebo neaktualizovatelné rozšíření je zbytečné bezpečnostní riziko.
3. Doinstalovat RSFirewall! ve verzi 3.3.6 nebo vyšší
Pokud web z technických důvodů zatím nelze aktualizovat, doporučujeme doplnit další ochrannou vrstvu v podobě RSFirewall!. Changelog RSFirewall! uvádí, že verze 3.3.5 přidala ochranu proti zranitelnosti JCE starší než 2.9.99.5 a verze 3.3.6 přinesla další vylepšení ochrany proti zranitelnostem JCE starším než 2.9.99.6.
RSFirewall! ale berte jako dočasnou ochranu, ne jako náhradu aktualizace. Pokud je samotné rozšíření JCE zranitelné, nejlepší řešení je stále aktualizace nebo odinstalace.
Doporučení pro správce Joomla webů
Zkontrolujte všechny Joomla weby, které spravujete. Nestačí prověřit jen aktivní nebo často upravované weby. Rizikové jsou i staré firemní prezentace, zapomenuté microsite, testovací instalace a weby, kde se JCE dlouho nepoužíval, ale rozšíření zůstalo nainstalované.
Minimální doporučený postup:
- ověřit, zda je JCE nainstalovaný,
- zkontrolovat jeho verzi,
- aktualizovat na JCE 2.9.99.6 nebo vyšší,
- pokud aktualizace není možná, JCE odinstalovat,
- případně nasadit RSFirewall! 3.3.6 nebo vyšší jako dočasnou ochranu,
- zkontrolovat logy a podezřelé soubory.
Chyba v JCE editoru není běžná drobná chyba v rozšíření. Jde o kritickou zranitelnost, která umožňovala neautorizované vytvoření editorového profilu a následně mohla vést až k nahrání a spuštění PHP kódu na serveru.
Doporučujeme nečekat na další incident. Pokud na Joomla webu používáte JCE, aktualizujte jej na poslední verzi. Pokud to kvůli starému PHP nebo staré Joomle není možné, editor odinstalujte nebo web dočasně chraňte pomocí RSFirewall! 3.3.6 a vyšší. Zároveň naplánujte aktualizaci celého webu na podporované verze PHP, Joomly a všech používaných rozšíření.
