Содержание

  1. Механизм атаки: почему это опасно?
  2. Кто в зоне риска?
  3. Решение проблемы: Пошаговая инструкция
    1. Шаг 1. Немедленное обновление JCE
    2. Шаг 2. Проверка профилей редактора (Критически важно!)
    3. Шаг 3. Ревизия папки images
  4. Что делать, если сайт уже взломан?
  5. Как защититься на будущее

Важная информация для всех владельцев сайтов на Joomla! В начале июня 2026 года специалистами по безопасности была обнаружена критическая уязвимость в популярном редакторе JCE (Joomla Content Editor).

Уязвимость получила идентификатор CVE-2026-48907 и оценку 10.0 баллов по шкале CVSS v4.0, что соответствует максимальному уровню угрозы. Злоумышленники уже начали сканирование интернета на предмет уязвимых сайтов.

Мы настоятельно рекомендуем немедленно проверить ваши проекты. Промедление с обновлением приведет к полной компрометации сайта.

Механизм атаки: почему это опасно?

Уязвимость заключается в нарушении контроля доступа (CWE-284) в компоненте JCE . В отличие от многих других дыр в безопасности, эта атака не требует авторизации. Это означает, что хакеру не нужно знать ваш пароль от админки.

Вредоносные профили JCE
Вредоносные профили JCE

Как происходит взлом:

  1. Создание профиля: Неаутентифицированный пользователь отправляет специально сформированный HTTP-запрос к компоненту JCE, который позволяет создать новый профиль редактора (Editor Profile) .

  2. Маскировка: В созданном профиле злоумышленник назначает права на загрузку файлов группе "Public" (Все посетители сайта) .

  3. Загрузка шелла: Используя этот профиль, хакер заходит в стандартный менеджер файлов JCE (обычно используемый для загрузки изображений в статьи) и загружает файл.

    • Хитрость: Часто файл маскируется под image.gif (валидный GIF, содержащий внутри PHP-код) или файл с двойным расширением (image.php.gif).

  4. Выполнение кода: После загрузки файла в папку /images, злоумышленник переименовывает его (или выполняет напрямую, если сервер настроен небрежно), превращая в shell.php.

  5. Результат: Хакер получает доступ к файловой системе вашего сервера, может изменить базу данных, установить вредоносное ПО (вирусы, майнеры) или перенаправить трафик на мошеннические сайты.

Кто в зоне риска?

В зоне риска находятся все сайты, на которых установлен компонент JCE версии ниже 2.9.99.5, включая версии 1.0.0 – 2.9.99.4 .
Если вы не знаете, какая версия JCE у вас стоит — вы в зоне риска.

Решение проблемы: Пошаговая инструкция

Разработчики JCE оперативно выпустили исправленные версии. Для устранения уязвимости необходимо выполнить строгий алгоритм действий. На данный момент актуальными безопасными версиями являются 2.9.99.5 (критический патч) и 2.9.99.6 (дополнительное усиление безопасности) .

Шаг 1. Немедленное обновление JCE

  1. Перейдите в панели управления Joomla в раздел Расширения → Управление → Обновления.

  2. Нажмите «Очистить кэш» и «Найти обновления».

  3. Найдите в списке JCE (Joomla Content Editor).

  4. Установите версию не ниже 2.9.99.5 (рекомендуется 2.9.99.6) .

Если обновление не находится:
Скачайте последнюю версию вручную с официального сайта разработчика и установите через Расширения → Управление → Установить.

Шаг 2. Проверка профилей редактора (Критически важно!)

Даже если вы обновились, это не удалит профиль, который мог создать хакер до обновления.

  • Перейдите в Компоненты → JCE Editor → Профили (Profiles) .

  • Внимательно осмотрите список. Если вы видите профиль (особенно с нестандартным названием, случайным набором букв или просто новым профилем), у которого в настройках вкладки Permissions (Права) для группы Public стоит разрешение на загрузку файлов — ваш сайт уже взломан .

    • Действие: Немедленно удалите такой профиль.

Шаг 3. Ревизия папки images

Вредоносные файлы в папке /images
Вредоносные файлы в папке /images

Раз вы были в зоне риска, нужно проверить, не успел ли злоумышленник загрузить «бэкдор» до того, как вы обновились.

  1. Через Менеджер файлов хостинга или FTP откройте папку images (и все её подпапки, например images/stories или images/sampledata).

  2. Ищите подозрительные файлы:

    • Файлы с датой создания, совпадающей с периодом до вашего обновления.

    • Файлы с расширениями .php.phtml.shtml, которые там явно не должны лежать (обычно в images хранятся только .jpg.png.gif.svg).

    • Файлы с названиями вроде jce_5f314aa0.phpjce_5f314aa0.php.gif или набором случайных символов (x19d02.php).

Что делать, если сайт уже взломан?

Если в п. Шаг 2 вы нашли подозрительный профиль, или в п. Шаг 3 нашли лишние PHP-файлы, считайте, что сайт скомпрометирован.

Алгоритм действий при взломе:

  1. НЕ паникуйте и НЕ удаляйте всё подряд, чтобы не сломать сайт окончательно.

  2. Найдите чистую резервную копию (созданную до 1-2 июня 2026 года).

  3. Восстановите сайт из бэкапа.

  4. Немедленно обновите JCE до версии 2.9.99.6 на восстановленном сайте (чтобы дыра не открылась снова).

  5. Смените все пароли: доступ к базе данных, FTP/SSH, хостинг-панели.

  6. Проверьте другие сайты на том же хостинге. Как правило, заражение одного сайта на виртуальном хостинге (если не настроен изоляция) ведет к заражению соседних. Удалите все найденные подозрительные файлы в корнях соседних сайтов.

Внимание!
Просто удалить подозрительные файлы и обновить JCE часто бывает недостаточно. Хакеры оставляют «закладки» (бэкдоры) в ядрах расширений или шаблонов. Без опыта вы можете пропустить скрытые скрипты.

Как защититься на будущее

  1. Включите автоматические обновления для компонента JCE (эта опция есть в настройках обновлений Joomla).

  2. Используйте Admin Tools Pro: Сгенерируйте жесткий .htaccess и включите блокировку выполнения PHP-скриптов в папке /images. Это сделает невозможным запуск загруженного «трояна» даже при наличии другой дыры.

  3. Следите за дайджестами безопасности. Мы публикуем новости об угрозах сразу после их появления.

Важно!
Если ваш сайт оказался взломан, и вы не знаете, что делать, либо сомневаетесь, то срочно обращайтесь к нам за помощью!

Упоминаемые термины:

Админка, Бэкап, JCE