Threats
A agência norte-americana de cibersegurança ordenou a correção urgente de uma vulnerabilidade crítica no plugin JCE para Joomla que está a ser explorada ativamente
20/06/2026
|
A Cybersecurity and Infrastructure Security Agency (CISA) emitiu um alerta urgente para uma vulnerabilidade crítica no plugin Widget Factory Joomla Content Editor (JCE), amplamente utilizado em sites baseados em Joomla, que está a ser explorada ativamente por cibercriminosos. De acordo com o BleepingComputer, a falha, identificada como CVE-2026-48907, recebeu a classificação máxima de severidade e permite a execução remota de código sem necessidade de autenticação prévia. Segundo a CISA, a vulnerabilidade resulta de um problema de controlo de acesso inadequado que possibilita a criação de perfis de editor por utilizadores não autenticados, permitindo posteriormente o carregamento e execução de código PHP malicioso. “O Widget Factory Joomla Content Editor contém uma vulnerabilidade de controlo de acesso inadequado que pode permitir o carregamento e execução de código PHP através da criação de novos perfis de editor por utilizadores não autenticados”, alerta a agência. A equipa responsável pelo JCE corrigiu a falha no início de junho através da versão JCE Pro 2[.]9[.]99[.]6, recomendando a atualização imediata de todas as instalações afetadas. Segundo os responsáveis pelo projeto, a vulnerabilidade já está a ser explorada através de ataques automatizados e existe código de exploração disponível publicamente. Os programadores alertam ainda que a simples aplicação da atualização não elimina eventuais compromissos anteriores. “A atualização fecha o ponto de entrada, mas não limpa um site que já tenha sido comprometido”, refere a equipa do JCE. Para ambientes já afetados, os especialistas recomendam a realização de uma investigação aos perfis criados indevidamente, a alteração de todas as palavras-passe associadas ao sistema — incluindo contas de administração, bases de dados e alojamento — e a execução de uma análise completa ao servidor para detetar possíveis implantes maliciosos. A CISA adicionou a vulnerabilidade ao catálogo de Known Exploited Vulnerabilities (KEV) e ordenou às agências federais norte-americanas abrangidas pela diretiva Binding Operational Directive (BOD) 26-04 que corrijam os sistemas vulneráveis até ao dia 19 de junho de 2026. A agência considera que este tipo de falha representa um vetor de ataque recorrente e um risco significativo para organizações públicas e privadas. |
Receba todas as novidades na sua caixa de correio!
THREATS
Ataque ‘HTTP/2 Bomb’ pode derrubar servidores em menos de um minuto
THREATS
CNCS alerta para falha crítica que compromete acessos VPN
ANALYSIS
Gartner identifica prioridades estratégicas para os CISO na era da IA
NEWS
Falha no Gemini permitia ataques através de notificações
NEWS
Falha na Meta expôs mais de 20 mil contas do Instagram
THREATS
Ataque à cadeia de fornecimento afeta WordPress
THREATS
Oitava falha explorada em plataformas Cisco SD-WAN este ano
THREATS
Google confirma exploração de falha zero-day em plataforma da Oracle
THREATS
ServiceNow corrige vulnerabilidade explorada em algumas instâncias de clientes
THREATS
Microsoft corrige vulnerabilidade explorada no Exchange Server
