⚡ Não perca: notícia importante no ar! ⚡
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou na terça-feira uma falha de segurança de gravidade máxima que afeta o Widget Factory Joomla Content Editor (JCE) ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), citando evidências de exploração ativa.
A vulnerabilidade, rastreada como CVE-2026-48907 (pontuação CVSS: 10,0), é um caso de controle de acesso impróprio que pode facilitar a execução arbitrária de código.
“O Widget Factory Joomla Content Editor contém uma vulnerabilidade de controle de acesso imprópria que pode permitir o upload e a execução de código PHP através da criação de novos perfis de editor para usuários não autenticados”, disse a CISA.
De acordo com uma descrição da vulnerabilidade publicada no CVE.org, o problema reside na extensão do editor JCE para Joomla, permitindo que um malfeitor crie novos perfis de editor para usuários não autenticados, efetivamente abrindo caminho para o upload e execução de código PHP.
O problema afeta as versões JCE de 1.0.0 a 2.9.99.4. Ele foi corrigido na versão 2.9.99.5, lançada em 3 de junho de 2026. Em suas notas de lançamento, a Widget Factory disse que “controles de acesso insuficientes permitiam que usuários não autenticados carregassem perfis de editor”.
Atualmente não há informações sobre como a vulnerabilidade está sendo explorada em estado selvagem. As agências do Poder Executivo Civil Federal (FCEB) foram obrigadas a aplicar as correções até 19 de junho de 2026.
Múltiplas campanhas direcionadas a sites WordPress
A divulgação ocorre no momento em que Sansec detalhou uma nova campanha de ataque à cadeia de suprimentos que teve como alvo mais de 1 milhão de sites usando plug-ins OptinMonster, TrustPulse e PushEngage WordPress, com os atores da ameaça injetando JavaScript malicioso que “espera por um administrador logado, cria uma conta de administrador backdoor e instala um plug-in backdoor auto-oculto”.
Em outra campanha, descobriu-se que invasores desconhecidos comprometeram um site WordPress para incorporar um plug-in WordPress falso chamado "Beloved PBN Entegrasyonu", que direcionava furtivamente o URL do site para uma API externa a cada carregamento de página e injetava HTML ou JavaScript arbitrário retornado pelo servidor no rodapé da página da web.
Exatamente como os invasores violaram o site não está claro, mas diz-se que o acesso lhes permitiu preparar dois shells da web PHP como código executável bruto com os registros do banco de dados “wp_posts” e concedeu-lhes a capacidade de interagir com os scripts por HTTP. Isso, por sua vez, facilitou o acesso irrestrito de leitura/gravação a todo o sistema de arquivos do servidor, sem exigir qualquer autenticação.
Especificamente, as cargas residentes no banco de dados permitem que o agente da ameaça execute ações de arquivo, como ler, gravar, editar ou excluir qualquer arquivo no servidor, navegar em diretórios em todo o servidor, alterar permissões de arquivo, renomear arquivos, criar novos arquivos e pastas e fazer upload de arquivos de seu próprio computador.
“Cada visitante do site comprometido recebeu links externos PBN injetados na origem da página em cada carregamento de página, danificando diretamente as classificações de pesquisa do site e arriscando uma penalidade manual no Google Search Console”, disse o pesquisador da Sucuri Puja Srivastava.
“A campanha é operada por um ator de ameaças que fala turco e é construída em torno de um esquema clássico de monetização de SEO: injeção de backlink oculto para uma rede privada de blogs (PBN), provavelmente vinculada ao nicho de jogos de azar e afiliados adultos.”
A vulnerabilidade, rastreada como CVE-2026-48907 (pontuação CVSS: 10,0), é um caso de controle de acesso impróprio que pode facilitar a execução arbitrária de código.
“O Widget Factory Joomla Content Editor contém uma vulnerabilidade de controle de acesso imprópria que pode permitir o upload e a execução de código PHP através da criação de novos perfis de editor para usuários não autenticados”, disse a CISA.
De acordo com uma descrição da vulnerabilidade publicada no CVE.org, o problema reside na extensão do editor JCE para Joomla, permitindo que um malfeitor crie novos perfis de editor para usuários não autenticados, efetivamente abrindo caminho para o upload e execução de código PHP.
O problema afeta as versões JCE de 1.0.0 a 2.9.99.4. Ele foi corrigido na versão 2.9.99.5, lançada em 3 de junho de 2026. Em suas notas de lançamento, a Widget Factory disse que “controles de acesso insuficientes permitiam que usuários não autenticados carregassem perfis de editor”.
Atualmente não há informações sobre como a vulnerabilidade está sendo explorada em estado selvagem. As agências do Poder Executivo Civil Federal (FCEB) foram obrigadas a aplicar as correções até 19 de junho de 2026.
Múltiplas campanhas direcionadas a sites WordPress
A divulgação ocorre no momento em que Sansec detalhou uma nova campanha de ataque à cadeia de suprimentos que teve como alvo mais de 1 milhão de sites usando plug-ins OptinMonster, TrustPulse e PushEngage WordPress, com os atores da ameaça injetando JavaScript malicioso que “espera por um administrador logado, cria uma conta de administrador backdoor e instala um plug-in backdoor auto-oculto”.
Em outra campanha, descobriu-se que invasores desconhecidos comprometeram um site WordPress para incorporar um plug-in WordPress falso chamado "Beloved PBN Entegrasyonu", que direcionava furtivamente o URL do site para uma API externa a cada carregamento de página e injetava HTML ou JavaScript arbitrário retornado pelo servidor no rodapé da página da web.
Exatamente como os invasores violaram o site não está claro, mas diz-se que o acesso lhes permitiu preparar dois shells da web PHP como código executável bruto com os registros do banco de dados “wp_posts” e concedeu-lhes a capacidade de interagir com os scripts por HTTP. Isso, por sua vez, facilitou o acesso irrestrito de leitura/gravação a todo o sistema de arquivos do servidor, sem exigir qualquer autenticação.
Especificamente, as cargas residentes no banco de dados permitem que o agente da ameaça execute ações de arquivo, como ler, gravar, editar ou excluir qualquer arquivo no servidor, navegar em diretórios em todo o servidor, alterar permissões de arquivo, renomear arquivos, criar novos arquivos e pastas e fazer upload de arquivos de seu próprio computador.
“Cada visitante do site comprometido recebeu links externos PBN injetados na origem da página em cada carregamento de página, danificando diretamente as classificações de pesquisa do site e arriscando uma penalidade manual no Google Search Console”, disse o pesquisador da Sucuri Puja Srivastava.
“A campanha é operada por um ator de ameaças que fala turco e é construída em torno de um esquema clássico de monetização de SEO: injeção de backlink oculto para uma rede privada de blogs (PBN), provavelmente vinculada ao nicho de jogos de azar e afiliados adultos.”
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #cisa #alerta #sobre #falha #explorada #ativamente #no #jce #do #joomla, #permitindo #a #execução #de #código #php
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário