De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft dinsdag een beveiligingsfout met de hoogste ernst die van invloed is op Widget Factory Joomla Content Editor (JCE) toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus, daarbij verwijzend naar bewijs van actieve exploitatie.
De kwetsbaarheid, bijgehouden als CVE-2026-48907 (CVSS-score: 10,0), is een geval van onjuiste toegangscontrole die de uitvoering van willekeurige code zou kunnen vergemakkelijken.
“Widget Factory Joomla Content Editor bevat een kwetsbaarheid in de toegangscontrole die het uploaden en uitvoeren van PHP-code mogelijk maakt via het aanmaken van nieuwe editorprofielen voor niet-geverifieerde gebruikers”, aldus CISA.
Volgens een beschrijving van de kwetsbaarheid die op CVE.org is gepubliceerd, zit het probleem in de JCE-editorextensie voor Joomla, waardoor een slechte actor nieuwe editorprofielen kan maken voor niet-geverifieerde gebruikers, wat effectief de weg vrijmaakt voor het uploaden en uitvoeren van PHP-code.
Het probleem heeft gevolgen voor JCE-versies van 1.0.0 tot en met 2.9.99.4. Het is gepatcht in versie 2.9.99.5, uitgebracht op 3 juni 2026. In de release-opmerkingen zei Widget Factory “onvoldoende toegangscontroles stonden niet-geverifieerde gebruikers toe om editorprofielen te uploaden.”
Er is momenteel geen informatie over hoe de kwetsbaarheid in het wild wordt uitgebuit. De agentschappen van de Federal Civilian Executive Branch (FCEB) hebben de opdracht gekregen om de oplossingen uiterlijk 19 juni 2026 toe te passen.
Meerdere campagnes richten zich op WordPress-sites
De onthulling komt op het moment dat Sansec een nieuwe supply chain-aanvalscampagne heeft beschreven die zich richtte op meer dan 1 miljoen sites met behulp van de WordPress-plug-ins OptinMonster, TrustPulse en PushEngage, waarbij de bedreigingsactoren kwaadaardig JavaScript injecteerden dat “wacht op een ingelogde beheerder, een backdoor-beheerdersaccount aanmaakt en een zichzelf verbergende backdoor-plug-in installeert.”
In een andere campagne is gebleken dat onbekende aanvallers een WordPress-site hebben gecompromitteerd door een nep-WordPress-plug-in met de naam “Beloved PBN Entegrasyonu” in te sluiten, die bij elke paginalading heimelijk de URL van de site naar een externe API heeft doorverwezen en willekeurige HTML of JavaScript heeft geïnjecteerd die door de server is geretourneerd in de voettekst van de webpagina.
Het is onduidelijk hoe de aanvallers precies de website hebben binnengedrongen, maar de toegang zou hen in staat hebben gesteld om twee PHP-webshells als onbewerkte uitvoerbare code met de “wp_posts”-databaserecords uit te voeren en hen de mogelijkheid te geven om via HTTP met de scripts te communiceren. Dit maakte op zijn beurt onbeperkte lees-/schrijftoegang tot het volledige serverbestandssysteem mogelijk zonder enige authenticatie.
Met name de database-residente payloads stellen de bedreigingsactor in staat bestandsacties uit te voeren, zoals het lezen, schrijven, bewerken of verwijderen van elk bestand op de server, het bladeren door mappen op de hele server, het wijzigen van bestandsrechten, het hernoemen van bestanden, het maken van nieuwe bestanden en mappen, en het uploaden van bestanden vanaf hun eigen computer.
“Elke bezoeker van de gecompromitteerde site kreeg bij elke paginalading geïnjecteerde PBN-links in de paginabron, wat de zoekresultaten van de site direct schaadde en het risico liep op een handmatige boete in Google Search Console”, aldus Sucuri-onderzoeker Puja Srivastava.
“De campagne wordt beheerd door een Turkssprekende bedreigingsacteur en is opgebouwd rond een klassiek SEO-programma voor het genereren van inkomsten: verborgen backlink-injectie voor een Private Blog Network (PBN), hoogstwaarschijnlijk gekoppeld aan de niche voor gokken en volwassen affiliates.”
