|

Kritische Joomla-Sicherheitslücke im JCE-Editor – jetzt handeln (CVE-2026-48907)

Seit Juni 2026 gibt es eine kritische Joomla JCE Sicherheitslücke (CVE-2026-48907), die aktiv und automatisiert ausgenutzt wird. In diesem Beitrag erfahren Sie, ob Ihre Website von der Joomla JCE Sicherheitslücke betroffen ist – und wie Sie die Lücke Schritt für Schritt schließen.

Das Wichtigste in Kürze

  • Was: Kritische Sicherheitslücke im weit verbreiteten Joomla-Editor JCE (Joomla Content Editor) – Kennung CVE-2026-48907, Schweregrad CVSS 10.0 (maximal).
  • Gefahr: Angreifer können ohne Login Schadcode (PHP) auf den Server hochladen und ausführen – vollständige Übernahme der Website.
  • Betroffen: Alle JCE-Versionen bis einschließlich 2.9.99.4.
  • Lösung: Sofort auf JCE 2.9.99.7 (oder neuer) aktualisieren.
  • Achtung: Die Lücke wird aktiv und automatisiert ausgenutzt. Ein Update schließt zwar die Tür – eine bereits gehackte Seite muss zusätzlich bereinigt werden.

Was ist passiert?

Im Juni 2026 wurde die Joomla JCE Sicherheitslücke im Joomla Content Editor (JCE) bekannt – einem der meistgenutzten Editor-Erweiterungen für Joomla. Die US-Sicherheitsbehörde CISA hat die Lücke in ihren Katalog der „bekannten, aktiv ausgenutzten Schwachstellen“ (Known Exploited Vulnerabilities) aufgenommen. Funktionierender Angriffscode ist öffentlich verfügbar, und automatisierte Bots durchsuchen das Internet gezielt nach verwundbaren Joomla-Installationen.

Wir sehen die Auswirkungen aktuell auch direkt bei betroffenen Kundenseiten – deshalb dieser Beitrag mit einer konkreten Anleitung.

Wie gefährlich ist die Lücke?

Sehr gefährlich. Es handelt sich um eine „Unauthenticated Remote Code Execution“ – zu Deutsch: ein Angreifer kann ohne jegliche Anmeldung und ohne Nutzerinteraktion aus der Ferne Schadcode auf Ihrem Server ausführen. Konkret nutzt der Angriff eine Lücke im Profil-Import des Editors aus, um eine getarnte PHP-Datei (eine sogenannte „Webshell“) hochzuladen und auszuführen.

Mit einer solchen Webshell kann ein Angreifer typischerweise:

  • die komplette Website und deren Inhalte manipulieren oder löschen,
  • Spam-Mails über Ihren Server versenden (Gefahr: IP-Sperren/Blacklisting),
  • die Seite zur Verbreitung von Schadsoftware oder für Phishing missbrauchen,
  • Kundendaten aus der Datenbank auslesen,
  • sich dauerhaft im System einnisten (Backdoors).

Bin ich von der Joomla JCE Sicherheitslücke betroffen?

Betroffen sind Sie, wenn beide Punkte zutreffen:

  1. Ihre Website läuft mit Joomla (Version 3, 4 oder 5).
  2. Die Erweiterung JCE ist installiert – und zwar in einer Version 2.9.99.4 oder älter.

So prüfen Sie Ihre JCE-Version: Melden Sie sich im Joomla-Backend an und öffnen Sie System → Verwalten → Erweiterungen (bzw. Erweiterungen → Verwalten → Verwalten). Suchen Sie nach „JCE“ und lesen Sie die installierte Versionsnummer ab.

Anleitung: Joomla JCE Sicherheitslücke schließen

Bitte gehen Sie zügig vor – idealerweise heute noch.

Schritt 1: Datensicherung erstellen

Legen Sie vor allen Änderungen eine vollständige Sicherung Ihrer Website an (Dateien und Datenbank). Falls Ihre Seite bereits kompromittiert wurde, hilft die Sicherung außerdem bei der späteren Spurenanalyse.

Schritt 2: JCE aktualisieren (der wichtigste Schritt)

Aktualisieren Sie JCE auf die aktuelle, sichere Version 2.9.99.7 (oder neuer):

  • Am einfachsten über das Joomla-Backend: Komponenten → JCE Editor → nach Updates suchen, alternativ System → Aktualisierung → Erweiterungen aktualisieren.
  • Alternativ das aktuelle Paket von der offiziellen Seite joomlacontenteditor.net herunterladen und über Erweiterungen → Installieren einspielen.

Hinweis zur Version: Erst 2.9.99.5 (03.06.2026) hat die Lücke geschlossen; 2.9.99.7 (18.06.2026) behebt zusätzlich ein Upload-Problem der Zwischenversion und bringt weitere Härtungen. Aktualisieren Sie daher direkt auf 2.9.99.7 oder neuer.

Schritt 3: Ältere Joomla-Installationen (Joomla 3)

Für Seiten, die die Anforderungen der aktuellen Version (PHP 7.4 / Joomla 3.10) noch nicht erfüllen, stellt der JCE-Hersteller ein kostenloses Sicherheits-Patch-Paket für die Reihen 2.7.x, 2.8.x und 2.9.x bereit. Dieses schließt ausschließlich die Lücke, ohne die zusätzlichen Härtungen der neuen Version. Besser ist immer das vollständige Update – planen Sie bei veralteten Joomla-Versionen zeitnah eine Aktualisierung von Joomla selbst ein.

Schritt 4: Prüfen, ob die Seite bereits gehackt wurde

Ein Update schließt die Lücke, entfernt aber keine bereits hinterlassene Schadsoftware. Prüfen Sie daher auf typische Angriffsspuren:

  • Fremde Editor-Profile: Öffnen Sie Komponenten → JCE Editor → Editor-Profile. Verdächtig sind automatisch benannte Profile (z. B. ein „J“ gefolgt von sechs Ziffern wie J940401) oder Profile mit Namen/Beschreibungen wie „Pwned“ bzw. „RCE via JCE“. Solche Profile löschen.
  • Fremde PHP-Dateien in Upload-Ordnern: In den Verzeichnissen /images, /media und /tmp darf kein PHP-Code liegen. Achten Sie besonders auf getarnte Dateien (z. B. .xml.php oder Bilddateien mit angehängter .php-Endung).
  • Server-Logs: Aufrufe von index.php?option=com_jce&task=profiles.import – oft direkt gefolgt von task=plugin.rpc&method=upload – sind ein deutliches Angriffssignal.

Schritt 5: Bei Kompromittierung – bereinigen und Zugänge sichern

Wurde Ihre Seite bereits angegriffen, reicht das Update allein nicht:

  1. Fremde JCE-Profile und alle Schaddateien entfernen.
  2. Alle Passwörter ändern: Joomla-Administratoren, Datenbank, FTP/SSH und Hosting-Zugang.
  3. Aktive Sitzungen ungültig machen und alle Backend-Benutzer auf unbekannte Admin-Konten prüfen.
  4. Einen vollständigen Malware-Scan der Website durchführen.

Da eine saubere Bereinigung Erfahrung erfordert und übersehene Backdoors schnell zur erneuten Infektion führen, unterstützen wir Sie hier gerne (siehe unten).

Warum das Einspielen eines alten Backups nicht genügt

Ein häufiger Irrtum: „Ich spiele einfach ein Backup ein, dann ist alles gut.“ Das ist gefährlich – aus zwei Gründen:

  • Enthält das Backup noch die alte, verwundbare JCE-Version, ist die Lücke sofort wieder offen und die Seite wird erneut gehackt.
  • Liegt der Angriff schon länger zurück, ist die Backdoor unter Umständen bereits im Backup enthalten.

Nach dem Einspielen eines Backups also immer zuerst JCE aktualisieren und anschließend auf Angriffsspuren prüfen – sonst ist die Joomla JCE Sicherheitslücke sofort wieder offen.

Serverprofis hilft Ihnen

Sie sind sich unsicher, ob Ihre Joomla-Seite von der Joomla JCE Sicherheitslücke betroffen oder bereits kompromittiert ist? Unser Team unterstützt Sie – von der Prüfung über das Update bis zur vollständigen Bereinigung. Als Anbieter von sicherem Webhosting aus Deutschland sind wir für Sie da. Melden Sie sich einfach bei uns:

Wir empfehlen allen Joomla-Kunden mit JCE dringend, das Update zeitnah durchzuführen – die Lücke wird derzeit aktiv ausgenutzt.

Ähnliche Beiträge