🗓️ Contexte

Le 12 juin 2026, Widget Factory Limited publie sur le site officiel de JCE (Joomla Content Editor) un avis de sécurité détaillant une vulnérabilité critique affectant toutes les versions de JCE antérieures à 2.9.99.5. La correction initiale a été publiée le 3 juin 2026 (version 2.9.99.5), suivie d’un durcissement supplémentaire le 8 juin 2026 (version 2.9.99.6).

🔍 Nature de la vulnérabilité

La vulnérabilité repose sur un import de profil d’éditeur non authentifié via le chemin index.php?option=com_jce&task=profiles.import. Elle permet à un attaquant de :

  • Créer un profil d’éditeur malveillant autorisant l’upload de fichiers exécutables (PHP ou autres scripts)
  • Uploader un webshell ou fichier PHP dans des répertoires normalement non exécutables (images, media, tmp)
  • Compromettre le site même sans compte utilisateur enregistré

⚠️ Exploitation active

L’exploitation est automatisée, avec du code d’exploitation public disponible. Les sites sans inscription publique ne sont pas protégés. Les indicateurs de compromission incluent :

  • Présence d’un profil JCE inconnu avec nom généré automatiquement
  • Extensions de fichiers PHP autorisées dans les paramètres du profil (Image Manager, File Browser)
  • Fichiers PHP présents dans les dossiers images/, media/ ou tmp/
  • Requêtes non authentifiées vers index.php?option=com_jce&task=profiles.import dans les logs d’accès

🛠️ Versions affectées et correctifs

  • JCE 2.7.x, 2.8.x, 2.9.x : vulnérables, patch gratuit disponible (nécessite PHP 7.4 et Joomla 3.10+)
  • JCE 2.6.x : non affecté en configuration par défaut (non vérifié indépendamment), mais non supporté
  • JCE 2.9.99.6 : version recommandée corrigeant la vulnérabilité avec durcissement additionnel

📌 Type d’article

Avis de sécurité officiel éditeur / patch de sécurité, visant à informer les administrateurs de sites Joomla de la criticité de la vulnérabilité et à les guider dans la mise à jour et la vérification de compromission.

🧠 TTPs et IOCs détectés

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1505.003 — Server Software Component: Web Shell (Persistence)
  • T1059.004 — Command and Scripting Interpreter: Unix Shell (Execution)
  • T1608.001 — Stage Capabilities: Upload Malware (Resource Development)

IOC

  • URLs : index.php?option=com_jce&task=profiles.importURLhaus
  • Chemins : /images/
  • Chemins : /media/
  • Chemins : /tmp/

🟡 Indice de vérification factuelle : 50/100 (moyenne)

  • ⬜ joomlacontenteditor.net — source non référencée (0pts)
  • ✅ 5740 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 4 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ 0/1 IOCs confirmés externellement (0pts)
  • ✅ 4 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.joomlacontenteditor.net/news/jce-security-update-and-a-free-patch-for-older-sites