Badan Keamanan Siber dan Infrastruktur AS (CISA) telah memerintahkan lembaga federal untuk menambal kelemahan dengan tingkat keparahan maksimum pada plugin Widget Factory Joomla Content Editor (JCE) yang sedang dieksploitasi secara aktif di alam liar.
Dilacak sebagai CVE-2026-48907kerentanan ini dapat dieksploitasi oleh pelaku ancaman tanpa hak istimewa untuk mencapai eksekusi kode melalui serangan kompleksitas rendah yang menargetkan penerapan Joomla yang menggunakan plugin editor JCE WYSIWYG.
“Editor Konten Joomla Pabrik Widget mengandung kerentanan kontrol akses yang tidak tepat yang memungkinkan pengunggahan dan eksekusi kode PHP melalui pembuatan profil editor baru untuk pengguna yang tidak diautentikasi,” CISA memperingatkan pada hari Selasa.
Tim keamanan JCE mengatasi hal ini pada awal Juni dengan merilis JCE Pro 2.9.99.6memperingatkan pengguna untuk menambal instalasi mereka sesegera mungkin.
“Jika Anda belum memperbarui, harap segera lakukan. Kerentanan sedang dieksploitasi secara aktif, kode eksploitasi yang berfungsi bersifat publik, dan serangan dilakukan secara otomatis, sehingga situs tanpa registrasi publik tidaklah aman,” katanya.
“Satu poin penting: pembaruan menutup titik masuk tetapi tidak membersihkan situs yang telah disusupi. Jika Anda terkena sebelum memperbarui, pembaruan tidak akan menghapus apa yang ditinggalkan penyerang.”
Untuk membersihkan situs yang disusupi, pengguna disarankan untuk terlebih dahulu mencadangkan profil jahat untuk penyelidikan lebih lanjut, kemudian memperbarui ke JCE 2.9.99.6 atau lebih baru, menghapus profil penyerang, mengubah semua kata sandi (termasuk kata sandi untuk akun administrator, database situs, dan akun hosting), dan kemudian menjalankan pemindaian malware sisi server secara penuh untuk memastikan tidak ada alat atau implan jahat lainnya yang ditanam.
Pada hari Selasa, CISA ditambahkan kerentanannya daftar kerentanan yang dieksploitasi secara aktif dan memerintahkan badan-badan Cabang Eksekutif Sipil Federal (FCEB) untuk mengamankan sistem mereka pada hari Jumat, sebagaimana diwajibkan oleh Petunjuk Operasional yang Mengikat (BOD) 26-04.
“Jenis kerentanan ini sering menjadi vektor serangan bagi pelaku siber jahat dan menimbulkan risiko signifikan bagi perusahaan federal,” badan keamanan siber memperingatkan kemarin. “Ikuti panduan BOD 26-04 yang berlaku untuk layanan cloud atau hentikan penggunaan produk jika mitigasi tidak tersedia. Pemangku kepentingan bertanggung jawab untuk mengevaluasi paparan internet setiap aset dan memastikan kepatuhan terhadap pedoman patching BOD 26-04.”
CISA MENJADI 26-04 dikeluarkan Rabu kemarin dan mengharuskan lembaga pemerintah AS untuk memprioritaskan patching berdasarkan risiko eksploitasi pada setiap kerentanan.
Faktor-faktor utama yang perlu dipertimbangkan ketika menilai risiko termasuk apakah kelemahan tersebut termasuk dalam Katalog Kerentanan yang Diketahui dan Dieksploitasi CISA, apakah aset-aset yang rentan diekspos secara online kepada publik, apakah eksploitasi dapat diotomatisasi untuk serangan skala besar, dan apakah eksploitasi tersebut memberikan penyerang kendali sebagian atau seluruhnya atas sistem yang ditargetkan.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
