Apa yang terjadi
CISA menambahkan CVE-2026-48907 (CVSS 10.0) ke katalog Known Exploited Vulnerabilities-nya pada 16 Juni 2026, mengutip eksploitasi aktif yang dikonfirmasi. Flaw tersebut adalah kerentanan improper access control pada ekstensi editor JCE untuk Joomla yang memungkinkan pengguna unauthentikasi untuk membuat profil editor dan menyalahgunakan fitur import profil untuk upload dan execute PHP code, menghasilkan unauthentikasi RCE pada web server.
Mengapa penting
Meskipun JCE adalah komponen CMS umum bukan infrastruktur khusus AI, ini dimasukkan sesuai aturan cakupan KEV (penambahan CISA KEV adalah sinyal operasional Tier A). Situs Joomla semakin banyak menghosting plugin chatbot AI, alat AI content generation, dan integrasi search berbasis AI; web shell pada host Joomla dapat mengkompromikan AI API keys dan credentials yang tersimpan dalam konfigurasi CMS.
Vektor serangan
Unauthentikasi attacker membuat profil editor baru melalui endpoint pembuatan profil JCE (tidak memerlukan login karena improper access control), kemudian menyalahgunakan fitur import profil untuk upload dan execute arbitrary PHP code pada server — menghasilkan akses web shell penuh.
Sistem yang terdampak
Widget Factory Joomla Content Editor (JCE) — ekstensi editor yang paling luas dipasang untuk Joomla CMS
Mitigasi
Terapkan security patch JCE segera sesuai advisory vendor. CISA federal due date: 19 Juni 2026. Lihat: https://www.joomlacontenteditor.net/news/jce-security-update-and-a-free-patch-for-older-sites