Kritische Joomla-Sicherheitslücke im JCE-Editor – jetzt handeln (CVE-2026-48907)
Seit Juni 2026 gibt es eine kritische Joomla JCE Sicherheitslücke (CVE-2026-48907), die aktiv und automatisiert ausgenutzt wird. In diesem Beitrag erfahren Sie, ob Ihre Website von der Joomla JCE Sicherheitslücke betroffen ist – und wie Sie die Lücke Schritt für Schritt schließen.
Das Wichtigste in Kürze
- Was: Kritische Sicherheitslücke im weit verbreiteten Joomla-Editor JCE (Joomla Content Editor) – Kennung CVE-2026-48907, Schweregrad CVSS 10.0 (maximal).
- Gefahr: Angreifer können ohne Login Schadcode (PHP) auf den Server hochladen und ausführen – vollständige Übernahme der Website.
- Betroffen: Alle JCE-Versionen bis einschließlich 2.9.99.4.
- Lösung: Sofort auf JCE 2.9.99.7 (oder neuer) aktualisieren.
- Achtung: Die Lücke wird aktiv und automatisiert ausgenutzt. Ein Update schließt zwar die Tür – eine bereits gehackte Seite muss zusätzlich bereinigt werden.
Was ist passiert?
Im Juni 2026 wurde die Joomla JCE Sicherheitslücke im Joomla Content Editor (JCE) bekannt – einem der meistgenutzten Editor-Erweiterungen für Joomla. Die US-Sicherheitsbehörde CISA hat die Lücke in ihren Katalog der „bekannten, aktiv ausgenutzten Schwachstellen“ (Known Exploited Vulnerabilities) aufgenommen. Funktionierender Angriffscode ist öffentlich verfügbar, und automatisierte Bots durchsuchen das Internet gezielt nach verwundbaren Joomla-Installationen.
Wir sehen die Auswirkungen aktuell auch direkt bei betroffenen Kundenseiten – deshalb dieser Beitrag mit einer konkreten Anleitung.
Wie gefährlich ist die Lücke?
Sehr gefährlich. Es handelt sich um eine „Unauthenticated Remote Code Execution“ – zu Deutsch: ein Angreifer kann ohne jegliche Anmeldung und ohne Nutzerinteraktion aus der Ferne Schadcode auf Ihrem Server ausführen. Konkret nutzt der Angriff eine Lücke im Profil-Import des Editors aus, um eine getarnte PHP-Datei (eine sogenannte „Webshell“) hochzuladen und auszuführen.
Mit einer solchen Webshell kann ein Angreifer typischerweise:
- die komplette Website und deren Inhalte manipulieren oder löschen,
- Spam-Mails über Ihren Server versenden (Gefahr: IP-Sperren/Blacklisting),
- die Seite zur Verbreitung von Schadsoftware oder für Phishing missbrauchen,
- Kundendaten aus der Datenbank auslesen,
- sich dauerhaft im System einnisten (Backdoors).
Bin ich von der Joomla JCE Sicherheitslücke betroffen?
Betroffen sind Sie, wenn beide Punkte zutreffen:
- Ihre Website läuft mit Joomla (Version 3, 4 oder 5).
- Die Erweiterung JCE ist installiert – und zwar in einer Version 2.9.99.4 oder älter.
So prüfen Sie Ihre JCE-Version: Melden Sie sich im Joomla-Backend an und öffnen Sie System → Verwalten → Erweiterungen (bzw. Erweiterungen → Verwalten → Verwalten). Suchen Sie nach „JCE“ und lesen Sie die installierte Versionsnummer ab.
Anleitung: Joomla JCE Sicherheitslücke schließen
Bitte gehen Sie zügig vor – idealerweise heute noch.
Schritt 1: Datensicherung erstellen
Legen Sie vor allen Änderungen eine vollständige Sicherung Ihrer Website an (Dateien und Datenbank). Falls Ihre Seite bereits kompromittiert wurde, hilft die Sicherung außerdem bei der späteren Spurenanalyse.
Schritt 2: JCE aktualisieren (der wichtigste Schritt)
Aktualisieren Sie JCE auf die aktuelle, sichere Version 2.9.99.7 (oder neuer):
- Am einfachsten über das Joomla-Backend: Komponenten → JCE Editor → nach Updates suchen, alternativ System → Aktualisierung → Erweiterungen aktualisieren.
- Alternativ das aktuelle Paket von der offiziellen Seite joomlacontenteditor.net herunterladen und über Erweiterungen → Installieren einspielen.
Hinweis zur Version: Erst 2.9.99.5 (03.06.2026) hat die Lücke geschlossen; 2.9.99.7 (18.06.2026) behebt zusätzlich ein Upload-Problem der Zwischenversion und bringt weitere Härtungen. Aktualisieren Sie daher direkt auf 2.9.99.7 oder neuer.
Schritt 3: Ältere Joomla-Installationen (Joomla 3)
Für Seiten, die die Anforderungen der aktuellen Version (PHP 7.4 / Joomla 3.10) noch nicht erfüllen, stellt der JCE-Hersteller ein kostenloses Sicherheits-Patch-Paket für die Reihen 2.7.x, 2.8.x und 2.9.x bereit. Dieses schließt ausschließlich die Lücke, ohne die zusätzlichen Härtungen der neuen Version. Besser ist immer das vollständige Update – planen Sie bei veralteten Joomla-Versionen zeitnah eine Aktualisierung von Joomla selbst ein.
Schritt 4: Prüfen, ob die Seite bereits gehackt wurde
Ein Update schließt die Lücke, entfernt aber keine bereits hinterlassene Schadsoftware. Prüfen Sie daher auf typische Angriffsspuren:
- Fremde Editor-Profile: Öffnen Sie Komponenten → JCE Editor → Editor-Profile. Verdächtig sind automatisch benannte Profile (z. B. ein „J“ gefolgt von sechs Ziffern wie
J940401) oder Profile mit Namen/Beschreibungen wie „Pwned“ bzw. „RCE via JCE“. Solche Profile löschen. - Fremde PHP-Dateien in Upload-Ordnern: In den Verzeichnissen
/images,/mediaund/tmpdarf kein PHP-Code liegen. Achten Sie besonders auf getarnte Dateien (z. B..xml.phpoder Bilddateien mit angehängter.php-Endung). - Server-Logs: Aufrufe von
index.php?option=com_jce&task=profiles.import– oft direkt gefolgt vontask=plugin.rpc&method=upload– sind ein deutliches Angriffssignal.
Schritt 5: Bei Kompromittierung – bereinigen und Zugänge sichern
Wurde Ihre Seite bereits angegriffen, reicht das Update allein nicht:
- Fremde JCE-Profile und alle Schaddateien entfernen.
- Alle Passwörter ändern: Joomla-Administratoren, Datenbank, FTP/SSH und Hosting-Zugang.
- Aktive Sitzungen ungültig machen und alle Backend-Benutzer auf unbekannte Admin-Konten prüfen.
- Einen vollständigen Malware-Scan der Website durchführen.
Da eine saubere Bereinigung Erfahrung erfordert und übersehene Backdoors schnell zur erneuten Infektion führen, unterstützen wir Sie hier gerne (siehe unten).
Warum das Einspielen eines alten Backups nicht genügt
Ein häufiger Irrtum: „Ich spiele einfach ein Backup ein, dann ist alles gut.“ Das ist gefährlich – aus zwei Gründen:
- Enthält das Backup noch die alte, verwundbare JCE-Version, ist die Lücke sofort wieder offen und die Seite wird erneut gehackt.
- Liegt der Angriff schon länger zurück, ist die Backdoor unter Umständen bereits im Backup enthalten.
Nach dem Einspielen eines Backups also immer zuerst JCE aktualisieren und anschließend auf Angriffsspuren prüfen – sonst ist die Joomla JCE Sicherheitslücke sofort wieder offen.
Serverprofis hilft Ihnen
Sie sind sich unsicher, ob Ihre Joomla-Seite von der Joomla JCE Sicherheitslücke betroffen oder bereits kompromittiert ist? Unser Team unterstützt Sie – von der Prüfung über das Update bis zur vollständigen Bereinigung. Als Anbieter von sicherem Webhosting aus Deutschland sind wir für Sie da. Melden Sie sich einfach bei uns:
Wir empfehlen allen Joomla-Kunden mit JCE dringend, das Update zeitnah durchzuführen – die Lücke wird derzeit aktiv ausgenutzt.