CISA Advierte sobre Vulnerabilidad Crítica en Joomla JCE con Riesgo de Ejecución de Código
Publicado el
La Agencia de Seguridad Cibernética e Infraestructura de EE. UU. (CISA) ha añadido una vulnerabilidad de máxima severidad en el Widget Factory Joomla Content Editor (JCE) a su catálogo de Vulnerabilidades Conocidas Explotadas (KEV). Esta vulnerabilidad, identificada como CVE-2026-48907 y con un puntaje CVSS de 10.0, se relaciona con un control de acceso insuficiente que podría permitir la ejecución arbitraria de código.
Según la CISA, "el Widget Factory Joomla Content Editor presenta una vulnerabilidad de control de acceso inapropiado que podría permitir la carga y ejecución de código PHP mediante la creación de nuevos perfiles de editor para usuarios no autenticados". Esto implica que un actor malicioso podría crear perfiles sin autenticar, facilitando así la carga y ejecución de código PHP.
La vulnerabilidad afecta a las versiones de JCE desde la 1.0.0 hasta la 2.9.99.4, y se ha corregido en la versión 2.9.99.5, lanzada el 3 de junio de 2026. Según las notas de la versión de Widget Factory, "los controles de acceso insuficientes permitieron a usuarios no autenticados cargar perfiles de editor". Aunque se han observado actividades de explotación, no se ha detallado cómo se lleva a cabo en el entorno real.
Las agencias del Federal Civilian Executive Branch (FCEB) han sido instruidas para aplicar las correcciones necesarias antes del 19 de junio de 2026.
Campañas de Ataques Múltiples Dirigidas a Sitios de WordPress
La advertencia de la CISA se produce en un contexto en el que Sansec ha revelado una nueva campaña de ataque a la cadena de suministro, que ha afectado a más de 1 millón de sitios que utilizan plugins de WordPress como OptinMonster, TrustPulse y PushEngage. En esta campaña, los atacantes inyectaron JavaScript malicioso que "espera a un administrador autenticado, crea una cuenta de administrador de puerta trasera e instala un plugin de puerta trasera que se oculta a sí mismo".
En otra campaña, atacantes desconocidos han comprometido un sitio de WordPress para incrustar un plugin falso denominado "Beloved PBN Entegrasyonu", que enviaba de forma sigilosa la URL del sitio a una API externa en cada carga de página, además de inyectar HTML o JavaScript arbitrario devuelto por el servidor en el pie de página del sitio web.
La forma en que los atacantes lograron acceder al sitio no está clara, pero se ha informado que este acceso les permitió desplegar dos web shells en PHP como código ejecutable crudo con los registros de la base de datos wp_posts, otorgándoles la capacidad de interactuar con los scripts a través de HTTP. Esto facilitó un acceso de lectura/escritura sin restricciones a todo el sistema de archivos del servidor sin necesidad de autenticar.
Los payloads que residen en la base de datos permiten al actor de amenazas realizar acciones sobre archivos, como leer, escribir, editar o eliminar cualquier archivo en el servidor, navegar por directorios, cambiar permisos de archivos, renombrar archivos, crear nuevos archivos y carpetas, y cargar archivos desde su propio ordenador.
"Cada visitante del sitio comprometido recibió enlaces salientes de PBN inyectados en su código fuente en cada carga de página, lo que dañó directamente las posiciones de búsqueda del sitio y supuso un riesgo de penalización manual en Google Search Console", afirmó Puja Srivastava, investigadora de Sucuri. La campaña es operada por un actor de amenazas de habla turca y se basa en un esquema clásico de monetización SEO: inyección de backlinks ocultos para una Red de Blogs Privada (PBN), probablemente vinculada al nicho de juegos y afiliados para adultos.