CNCS lança novo alerta de vulnerabilidade e de segurança

O Centro Nacional de Cibersegurança (CNCS) emitiu dois alertas de segurança relacionados com ameaças que podem comprometer infraestruturas críticas e sistemas empresariais. Os avisos dizem respeito a uma vulnerabilidade crítica na extensão JCE para Joomla e a uma campanha ativa de comprometimento de credenciais associada a equipamentos Fortinet.

O primeiro alerta refere-se à vulnerabilidade CVE-2026-48907, identificada na extensão JCE Editor para Joomla, que permite a utilizadores não autenticados criar novos perfis de editor e carregar código PHP arbitrário para o servidor.

Segundo o CNCS, a falha resulta de uma combinação de ausência de controlos de autorização, validação insuficiente de ficheiros e desativação de mecanismos de segurança no processo de importação de perfis. A exploração bem-sucedida permite a execução remota de código PHP com os privilégios do servidor web, podendo conduzir ao comprometimento da confidencialidade, integridade e disponibilidade dos sistemas afetados.

A vulnerabilidade recebeu uma classificação CVSS de 10.0, considerada crítica, e já integra o catálogo Known Exploited Vulnerabilities (KEV) da CISA, existindo exploração ativa e ferramentas públicas disponíveis para automatizar ataques. Estão afetadas as versões da extensão JCE entre a 1.0.0 e a 2.9.99.4.

O CNCS recomenda a atualização imediata para a versão 2.9.99.6, que inclui correções e medidas adicionais de reforço de segurança. As organizações devem ainda verificar possíveis indicadores de comprometimento, nomeadamente a presença de ficheiros PHP desconhecidos em diretórios temporários e de upload, bem como pedidos suspeitos relacionados com a gestão de perfis nos registos do servidor.

O segundo alerta diz respeito à campanha FortiBleed, que visa equipamentos FortiGate e gateways VPN SSL da Fortinet expostos à Internet. Segundo a informação divulgada, a campanha não está associada a uma nova vulnerabilidade, mas sim à utilização de credenciais comprometidas obtidas através de fugas de dados anteriores, ataques de força bruta, credential stuffing, password spraying e exfiltração de ficheiros de configuração. Com credenciais válidas, os atacantes podem autenticar-se diretamente em interfaces de administração ou serviços VPN, obtendo acesso remoto à rede interna sem necessidade de explorar falhas de software.

O CNCS alerta para riscos como interceção de tráfego, recolha de novas credenciais, movimentação lateral dentro da rede e manutenção de acesso persistente aos sistemas. Para reduzir o risco, a entidade recomenda a alteração imediata das credenciais administrativas e de VPN, a ativação de autenticação multifator, a remoção de interfaces de gestão expostas à Internet e a revisão dos registos de autenticação e acesso remoto.

Adicionalmente, aconselha a atualização do firmware dos equipamentos, a alteração das credenciais de contas de serviço armazenadas nas configurações e a verificação do estado de atualização do FortiCloud SSO. O CNCS recomenda ainda uma avaliação de comprometimento dos postos de administração e dos equipamentos utilizados para acesso VPN, especialmente nos casos em que existam credenciais armazenadas localmente.