무슨 일이 있었나
CISA는 2026년 6월 16일 CVE-2026-48907 (CVSS 10.0)을 알려진 악용 취약점 카탈로그에 추가했으며, 확인된 활성 악용을 인용했습니다. 이 결함은 Joomla의 JCE 편집기 확장 프로그램의 부적절한 접근 제어 취약점으로, 인증되지 않은 사용자가 편집기 프로필을 만들고 프로필 가져오기 기능을 남용하여 PHP 코드를 업로드 및 실행할 수 있으며, 웹 서버에서 인증되지 않은 RCE를 획득할 수 있습니다.
왜 중요한가
JCE는 AI 관련 인프라가 아닌 일반적인 CMS 컴포넌트이지만, KEV 범위 규칙에 따라 포함됩니다 (CISA KEV 추가는 Tier A 운영 신호입니다). Joomla 사이트는 AI 챗봇 플러그인, AI 콘텐츠 생성 도구 및 AI 기반 검색 통합을 점점 더 많이 호스팅하고 있으며, Joomla 호스트의 웹 셸은 CMS 구성에 저장된 AI API 키 및 자격 증명을 손상시킬 수 있습니다.
공격 경로
인증되지 않은 공격자가 JCE 프로필 생성 엔드포인트를 통해 새 편집기 프로필을 만듭니다 (부적절한 접근 제어로 인해 로그인 필요 없음). 그런 다음 프로필 가져오기 기능을 남용하여 서버에서 임의의 PHP 코드를 업로드 및 실행합니다 — 전체 웹 셸 액세스를 획득합니다.
영향받는 시스템
Widget Factory Joomla Content Editor (JCE) — Joomla CMS를 위한 가장 널리 설치된 편집기 확장 프로그램
완화 방안
공급업체 공지에 따라 JCE 보안 패치를 즉시 적용하십시오. CISA 연방 기한: 2026년 6월 19일. 참조: https://www.joomlacontenteditor.net/news/jce-security-update-and-a-free-patch-for-older-sites