La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el martes agregado una falla de seguridad de máxima gravedad que afecta a Widget Factory Joomla Content Editor (JCE) en su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa.
La vulnerabilidad, rastreada como CVE-2026-48907 (Puntuación CVSS: 10,0), es un caso de control de acceso inadecuado que podría facilitar la ejecución de código arbitrario.
«Widget Factory Joomla Content Editor contiene una vulnerabilidad de control de acceso inadecuado que podría permitir la carga y ejecución de código PHP mediante la creación de nuevos perfiles de editor para usuarios no autenticados», CISA dicho.
Según una descripción de la vulnerabilidad publicada en CVE.org, el problema reside en la extensión del editor JCE para Joomla, lo que permite a un mal actor crear nuevos perfiles de editor para usuarios no autenticados, allanando efectivamente el camino para la carga y ejecución de código PHP.
El problema afecta a las versiones de JCE desde 1.0.0 hasta 2.9.99.4. Ha sido parcheado en la versión 2.9.99.5, lanzada el 3 de junio de 2026. En sus notas de la versión, Widget Factory dicho «Los controles de acceso insuficientes permitieron a usuarios no autenticados cargar perfiles de editor».
Actualmente no hay información sobre cómo se está explotando la vulnerabilidad en la naturaleza. Se ordenó a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen las correcciones antes del 19 de junio de 2026.
Varias campañas se dirigen a sitios de WordPress
En otra campaña, se descubrió que atacantes desconocidos comprometieron un sitio de WordPress para incorporar un complemento falso de WordPress llamado «Beloved PBN Entegrasyonu» que sigilosamente dirigía la URL del sitio a una API externa en cada carga de página e inyectaba HTML o JavaScript arbitrario devuelto por el servidor en el pie de página de la página web.
No está claro exactamente cómo los atacantes violaron el sitio web, pero se dice que el acceso les permitió organizar dos shells web PHP como código ejecutable sin procesar con los registros de la base de datos «wp_posts» y les otorgó la capacidad de interactuar con los scripts a través de HTTP. Esto, a su vez, facilitó el acceso de lectura/escritura sin restricciones a todo el sistema de archivos del servidor sin necesidad de autenticación.
Específicamente, las cargas útiles residentes en la base de datos permiten al actor de amenazas realizar acciones de archivos, como leer, escribir, editar o eliminar cualquier archivo en el servidor, explorar directorios en todo el servidor, cambiar los permisos de los archivos, cambiar el nombre de los archivos, crear nuevos archivos y carpetas y cargar archivos desde su propia computadora.
«Cada visitante del sitio comprometido recibió enlaces salientes PBN inyectados en la fuente de su página en cada carga de página, dañando directamente las clasificaciones de búsqueda del sitio y arriesgándose a una penalización manual en Google Search Console», dijo el investigador de Sucuri, Puja Srivastava. dicho.
«La campaña es operada por un actor de amenazas de habla turca y se basa en un esquema clásico de monetización SEO: inyección de vínculo de retroceso oculto para una red de blogs privada (PBN), muy probablemente vinculada al nicho de apuestas y afiliados adultos».
