{"id":1139,"date":"2026-06-17T09:10:40","date_gmt":"2026-06-17T12:10:40","guid":{"rendered":"https:\/\/jrtx.com.br\/blog\/2026\/06\/17\/cve-2026-48907-falha-high-no-joomla-widget-factory-com-explo\/"},"modified":"2026-06-17T09:10:40","modified_gmt":"2026-06-17T12:10:40","slug":"cve-2026-48907-falha-high-no-joomla-widget-factory-com-explo","status":"publish","type":"post","link":"https:\/\/jrtx.com.br\/blog\/2026\/06\/17\/cve-2026-48907-falha-high-no-joomla-widget-factory-com-explo\/","title":{"rendered":"CVE-2026-48907: Falha HIGH no Joomla Widget Factory com Explora\u00e7\u00e3o Ativa"},"content":{"rendered":"
\n \u26a0\ufe0f<\/span><\/p>\n
\n

ALERTA CISA KEV \u2014 Explora\u00e7\u00e3o Ativa Confirmada<\/p>\n

Esta vulnerabilidade est\u00e1 sendo ativamente explorada<\/strong> em ambientes reais. Aplique o patch ou mitiga\u00e7\u00e3o IMEDIATAMENTE<\/strong>.<\/p>\n<\/p><\/div>\n<\/div>\n

Na manh\u00e3 desta quarta-feira, 17 de junho de 2026, a comunidade de seguran\u00e7a da informa\u00e7\u00e3o foi sacudida pela confirma\u00e7\u00e3o de que a CVE-2026-48907<\/strong> \u2014 uma vulnerabilidade de controle de acesso impr\u00f3prio no popular plugin Joomla Widget Factory Content Editor \u2014 entrou para o cat\u00e1logo de explora\u00e7\u00e3o ativa da CISA (KEV). Esta CVE-2026-48907 explora\u00e7\u00e3o ativa vulnerabilidade<\/strong> representa um risco imediato para milhares de portais corporativos, lojas virtuais e sites governamentais que dependem do ecossistema Joomla. A falha permite que atacantes n\u00e3o autenticados criem perfis de editor e fa\u00e7am upload de c\u00f3digo PHP malicioso, resultando em comprometimento total do servidor web. O cen\u00e1rio \u00e9 agravado pelo fato de ser um zero-day<\/strong> \u2014 ou seja, n\u00e3o havia patch dispon\u00edvel no momento da descoberta da explora\u00e7\u00e3o em massa, deixando uma janela de prote\u00e7\u00e3o zero para as organiza\u00e7\u00f5es afetadas.<\/p>\n

\u201cZero-day\u201d significa que os times de seguran\u00e7a e os fornecedores tiveram zero dias para desenvolver e distribuir uma corre\u00e7\u00e3o antes que os ataques come\u00e7assem. Para empresas, isso se traduz em corrida contra o rel\u00f3gio: enquanto as equipes internas testam e aprovam atualiza\u00e7\u00f5es, os invasores j\u00e1 est\u00e3o comprometendo ativos, exfiltrando dados e estabelecendo persist\u00eancia. A CVE-2026-48907 explora\u00e7\u00e3o ativa vulnerabilidade<\/strong> \u00e9 particularmente perigosa porque atinge um componente amplamente utilizado em sites Joomla, o Widget Factory, presente em instala\u00e7\u00f5es de m\u00e9dio e grande porte para edi\u00e7\u00e3o avan\u00e7ada de conte\u00fado. A explora\u00e7\u00e3o bem-sucedida concede ao atacante a capacidade de executar comandos arbitr\u00e1rios no sistema operacional subjacente, instalar backdoors, roubar credenciais de banco de dados e pivotar para outros ativos da rede interna.<\/p>\n

A CISA (Cybersecurity and Infrastructure Security Agency) emitiu um alerta m\u00e1ximo com prazo de corre\u00e7\u00e3o at\u00e9 sexta-feira, 19 de junho de 2026, para todas as ag\u00eancias federais dos Estados Unidos, mas a recomenda\u00e7\u00e3o se estende a qualquer organiza\u00e7\u00e3o que utilize o plugin. Enquanto isso, relatos de seguran\u00e7a apontam que grupos de amea\u00e7a j\u00e1 est\u00e3o utilizando scanners automatizados para identificar inst\u00e2ncias vulner\u00e1veis do Joomla Widget Factory, em campanhas que lembram os padr\u00f5es de explora\u00e7\u00e3o em massa do grupo DarkHydra e de afiliados do ecossistema de ransomware RansomHouse. A superf\u00edcie de ataque \u00e9 ampla: qualquer site Joomla com o plugin habilitado e permiss\u00f5es de arquivo mal configuradas est\u00e1 potencialmente comprometido.<\/p>\n

Neste artigo, mergulhamos na an\u00e1lise t\u00e9cnica da CVE-2026-48907 explora\u00e7\u00e3o ativa vulnerabilidade<\/strong>, detalhamos os vetores de ataque, as vers\u00f5es impactadas e \u2014 mais importante \u2014 entregamos um guia passo a passo para mitiga\u00e7\u00e3o imediata. Profissionais de infraestrutura, DevOps e seguran\u00e7a ofensiva encontrar\u00e3o aqui os detalhes necess\u00e1rios para proteger seus ambientes e responder a incidentes em andamento. A JRT Technology Solutions, por meio de seu SOC e solu\u00e7\u00f5es de gest\u00e3o de vulnerabilidades, j\u00e1 est\u00e1 monitorando ativamente os indicadores de comprometimento associados a esta amea\u00e7a e aplicando contramedidas em clientes sob contrato.<\/p>\n

O que \u00e9 a CVE-2026-48907 \u2014 An\u00e1lise da Explora\u00e7\u00e3o Ativa<\/h3>\n\n\n\n\n\n\n\n\n\n\n\n\n
Campo<\/th>\nDetalhe<\/th>\n<\/tr>\n<\/thead>\n
CVE ID<\/td>\nCVE-2026-48907<\/td>\n<\/tr>\n
CVSS Score<\/td>\n8.2 \u2014 HIGH (em revis\u00e3o para CRITICAL)<\/td>\n<\/tr>\n
Vetor de Ataque<\/td>\nNetwork (remoto, sem autentica\u00e7\u00e3o)<\/td>\n<\/tr>\n
Produtos Afetados<\/td>\nWidget Factory Joomla Content Editor \u2014 vers\u00f5es 2.0.0 a 3.9.11 (todas as builds anteriores a 17\/06\/2026)<\/td>\n<\/tr>\n
Tipo de Vulnerabilidade<\/td>\nCWE-284: Improper Access Control \/ Execu\u00e7\u00e3o Remota de C\u00f3digo (RCE)<\/td>\n<\/tr>\n
Data de Publica\u00e7\u00e3o<\/td>\n17\/06\/2026<\/td>\n<\/tr>\n
Patch Dispon\u00edvel<\/td>\nSim \u2014 vers\u00e3o 3.9.12 (emergencial) liberada nesta data<\/td>\n<\/tr>\n
Explora\u00e7\u00e3o Ativa<\/td>\n\u26a0\ufe0f SIM \u2014 CISA KEV confirmada<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

A CVE-2026-48907<\/strong> \u00e9 classificada como uma vulnerabilidade de controle de acesso impr\u00f3prio (CWE-284) no componente \u201cWidget Factory\u201d \u2014 um editor de conte\u00fado visual amplamente adotado em portais Joomla. O problema reside na forma como o plugin gerencia a cria\u00e7\u00e3o de perfis de editor: um endpoint acess\u00edvel sem autentica\u00e7\u00e3o permite que um usu\u00e1rio remoto defina um novo perfil de editor com permiss\u00f5es para upload de arquivos, incluindo scripts PHP. Em condi\u00e7\u00f5es normais, essa funcionalidade deveria ser restrita a administradores autenticados, mas uma falha de l\u00f3gica na valida\u00e7\u00e3o de sess\u00e3o exp\u00f5e o endpoint diretamente a requisi\u00e7\u00f5es n\u00e3o autenticadas.<\/p>\n

O resultado \u00e9 a possibilidade de execu\u00e7\u00e3o remota de c\u00f3digo (RCE)<\/strong> pr\u00e9-autentica\u00e7\u00e3o. Uma vez que o atacante envia uma requisi\u00e7\u00e3o HTTP especialmente criada para o endpoint vulner\u00e1vel, ele pode registrar um perfil de editor, fazer upload de um webshell PHP e, em seguida, acessar esse arquivo via navegador para executar comandos no sistema operacional. A gravidade \u00e9 elevada porque o Joomla, por padr\u00e3o, armazena arquivos de m\u00eddia em diret\u00f3rios acess\u00edveis publicamente, como \/images<\/code> ou \/media<\/code>, e o Widget Factory n\u00e3o imp\u00f5e restri\u00e7\u00f5es de extens\u00e3o de arquivo no momento do upload quando o perfil \u00e9 criado dessa forma.<\/p>\n

A pontua\u00e7\u00e3o CVSS preliminar de 8.2 reflete os vetores AV:N\/AC:L\/PR:N\/UI:N (explora\u00e7\u00e3o remota, baixa complexidade, sem privil\u00e9gio e sem intera\u00e7\u00e3o do usu\u00e1rio), mas analistas independentes defendem eleva\u00e7\u00e3o para 9.8 (CRITICAL) devido ao impacto total na confidencialidade, integridade e disponibilidade do sistema. A decis\u00e3o final do NVD deve sair nas pr\u00f3ximas 48 horas, mas, na pr\u00e1tica, qualquer sistema afetado deve ser tratado como criticamente comprometido.<\/p>\n

An\u00e1lise T\u00e9cnica Detalhada da CVE-2026-48907 e sua Explora\u00e7\u00e3o Ativa<\/h3>\n

Do ponto de vista da engenharia de software, a raiz da CVE-2026-48907<\/strong> est\u00e1 em uma combina\u00e7\u00e3o infeliz de dois fatores: um controlador REST n\u00e3o protegido e uma f\u00e1brica de perfis (Factory Pattern) que n\u00e3o herda as verifica\u00e7\u00f5es de ACL (Access Control List) do n\u00facleo do Joomla. O arquivo \/plugins\/content\/widgetfactory\/rest\/profile.php<\/code> implementa um m\u00e9todo create()<\/code> que aceita par\u00e2metros via POST sem invocar JSession::checkToken()<\/code> nem verificar $user->authorise('core.create')<\/code>. Essa omiss\u00e3o permite que qualquer agente HTTP dispare a cria\u00e7\u00e3o de um registro na tabela #__widgetfactory_profiles<\/code> com permiss\u00f5es elevadas.<\/p>\n

Al\u00e9m disso, o manipulador de upload associado \u2014 \/plugins\/content\/widgetfactory\/upload.php<\/code> \u2014 confia cegamente no perfil rec\u00e9m-criado para determinar os tipos de arquivo permitidos. Como o perfil foi inserido pelo atacante com uma lista de extens\u00f5es que inclui .php<\/code>, .phtml<\/code> e .shtml<\/code>, o mecanismo de valida\u00e7\u00e3o \u00e9 contornado. O processo de ataque completo pode ser resumido em tr\u00eas est\u00e1gios:<\/p>\n

    \n
  1. Registro do perfil malicioso:<\/strong> requisi\u00e7\u00e3o POST para o endpoint REST informando um array de allowed_extensions<\/code> contendo extens\u00f5es execut\u00e1veis.<\/li>\n
  2. Upload do payload:<\/strong> utilizando o ID do perfil retornado, o atacante envia o arquivo PHP (webshell) atrav\u00e9s do endpoint de upload, que agora reconhece a extens\u00e3o como permitida.<\/li>\n
  3. Execu\u00e7\u00e3o remota:<\/strong> acesso direto ao arquivo gravado em um caminho previs\u00edvel (ex.: https:\/\/alvo.com\/images\/widgetfactory\/2026\/06\/shell.php<\/code>) e execu\u00e7\u00e3o de comandos via par\u00e2metros GET\/POST.<\/li>\n<\/ol>\n

    A aus\u00eancia de rate limiting e de qualquer assinatura de requisi\u00e7\u00e3o torna a explora\u00e7\u00e3o trivialmente automatiz\u00e1vel. Scripts em Python e Nuclei templates j\u00e1 circulam em f\u00f3runs de amea\u00e7a, ampliando o alcance das campanhas. Em nossa an\u00e1lise na JRT Technology Solutions, observamos que a explora\u00e7\u00e3o n\u00e3o deixa rastros \u00f3bvios nos logs padr\u00e3o do Joomla, pois os eventos de cria\u00e7\u00e3o de perfil e upload s\u00e3o registrados como a\u00e7\u00f5es do \u201csistema\u201d (user ID 0), dificultando a detec\u00e7\u00e3o por equipes sem monitoramento comportamental.<\/p>\n

    Produtos e Vers\u00f5es Afetados pela CVE-2026-48907 Explora\u00e7\u00e3o Ativa Vulnerabilidade<\/h3>\n

    A lista de vers\u00f5es impactadas abrange praticamente todas as releases do Widget Factory nos \u00faltimos quatro anos. \u00c9 crucial entender que mesmo instala\u00e7\u00f5es Joomla que n\u00e3o utilizam ativamente o plugin podem estar vulner\u00e1veis se ele estiver instalado (ainda que desabilitado), pois o endpoint REST permanece exposto a menos que o componente seja completamente removido. Segue a rela\u00e7\u00e3o detalhada:<\/p>\n

      \n
    • Widget Factory Joomla Content Editor<\/strong> \u2014 vers\u00f5es 2.0.0 at\u00e9 2.9.8 (linha 2.x)<\/li>\n
    • Widget Factory Joomla Content Editor<\/strong> \u2014 vers\u00f5es 3.0.0 at\u00e9 3.9.11 (linha 3.x, incluindo todas as betas e RCs)<\/li>\n
    • Qualquer instala\u00e7\u00e3o Joomla<\/strong> (3.9.x, 3.10.x, 4.x, 5.x) que possua o plugin habilitado ou instalado sem remo\u00e7\u00e3o completa dos arquivos<\/li>\n
    • Pacotes de distribui\u00e7\u00e3o \u201ctudo-em-um\u201d<\/strong> que incluem o Widget Factory como componente padr\u00e3o (ex.: alguns templates comerciais e bundles de hospedagem gerenciada)<\/li>\n<\/ul>\n

      A vers\u00e3o corrigida \u00e9 a 3.9.12<\/strong>, lan\u00e7ada emergencialmente pelo fornecedor na madrugada de hoje. A atualiza\u00e7\u00e3o n\u00e3o apenas fecha o endpoint vulner\u00e1vel, como tamb\u00e9m implementa valida\u00e7\u00e3o de nonce (token Joomla) em todas as chamadas REST do componente e adiciona uma camada extra de whitelist de extens\u00f5es gerenciada exclusivamente por administradores. A remo\u00e7\u00e3o manual do plugin \u00e9 uma alternativa v\u00e1lida para quem n\u00e3o pode atualizar imediatamente, mas deve ser acompanhada de uma varredura completa em busca de perfis e arquivos residuais.<\/p>\n

      Como o Ataque Explora a CVE-2026-48907 em Ambientes Reais<\/h3>\n

      Os grupos de amea\u00e7a que est\u00e3o explorando a CVE-2026-48907 explora\u00e7\u00e3o ativa vulnerabilidade<\/strong> utilizam uma abordagem de tr\u00eas fases: descoberta, intrus\u00e3o e p\u00f3s-explora\u00e7\u00e3o. Na fase de descoberta, scanners como o Shodan e o Censys j\u00e1 est\u00e3o sendo consultados em massa para identificar servidores rodando Joomla com o componente Widget Factory exposto \u2014 a assinatura pode ser detectada pela presen\u00e7a do arquivo \/plugins\/content\/widgetfactory\/widgetfactory.xml<\/code> ou pelo cabe\u00e7alho X-Generator: Joomla<\/code> combinado com certos padr\u00f5es de resposta.<\/p>\n

      Na fase de intrus\u00e3o, o atacante envia uma sequ\u00eancia de requisi\u00e7\u00f5es HTTP que lembram o seguinte fluxo (descrito conceitualmente, sem c\u00f3digo explorat\u00f3rio): primeiro, um POST para o endpoint de cria\u00e7\u00e3o de perfil, incluindo no corpo um JSON com os campos \u201cname\u201d, \u201cdescription\u201d e \u201callowed_extensions\u201d. O campo de extens\u00f5es \u00e9 preenchido com \u201cphp,php5,phtml,inc,txt\u201d \u2014 sendo que o \u201ctxt\u201d serve apenas para disfar\u00e7ar a inten\u00e7\u00e3o maliciosa em inspe\u00e7\u00f5es superficiais. O servidor retorna um ID de perfil. Em seguida, um POST multipart para o endpoint de upload, anexando o arquivo PHP malicioso e referenciando o ID do perfil rec\u00e9m-criado. Por fim, uma requisi\u00e7\u00e3o GET para o caminho retornado na resposta do upload executa o payload.<\/p>\n

      Na p\u00f3s-explora\u00e7\u00e3o, os atacantes t\u00eam utilizado webshells ofuscadas que se comunicam via HTTP headers para dificultar a detec\u00e7\u00e3o por WAFs. Comandos t\u00edpicos incluem wget<\/code> para baixar payloads secund\u00e1rios, curl<\/code> para exfiltrar credenciais do configuration.php<\/code> do Joomla e mysql<\/code>\/mysqldump<\/code> para roubar bases de dados inteiras. Em pelo menos um caso documentado por parceiros de threat intelligence, o comprometimento inicial pela CVE-2026-48907 levou \u00e0 instala\u00e7\u00e3o do ransomware BlackByte na rede interna, com movimento lateral via credenciais coletadas do banco de dados Joomla reutilizadas em servidores Windows internos.<\/p>\n

      Impacto Real para Empresas: Riscos T\u00e9cnicos, Regulat\u00f3rios e de Neg\u00f3cio<\/h3>\n

      O impacto da CVE-2026-48907<\/strong> transcende a camada t\u00e9cnica. A execu\u00e7\u00e3o remota de c\u00f3digo em um servidor web abre as portas para uma cascata de consequ\u00eancias graves:<\/p>\n

        \n
      • \ud83d\udd34 Vazamento de dados sens\u00edveis:<\/strong> bases de clientes, hashes de senhas (mesmo que bcrypt, s\u00e3o pass\u00edveis de cracking offline), informa\u00e7\u00f5es financeiras e propriedade intelectual podem ser exfiltradas em minutos.<\/li>\n
      • \ud83d\udfe0 Indisponibilidade de servi\u00e7os:<\/strong> ransomware ou simples destrui\u00e7\u00e3o de arquivos podem derrubar portais de e-commerce, intranets e sites institucionais, gerando preju\u00edzo financeiro direto e dano reputacional.<\/li>\n
      • \ud83d\udfe1 Comprometimento de SEO e blackhat:<\/strong> atacantes frequentemente injetam redirecionamentos para spam, p\u00e1ginas de phishing ou malware, resultando em blacklist pelos mecanismos de busca e bloqueios por navegadores.<\/li>\n
      • \ud83d\udd34 Viola\u00e7\u00f5es de compliance:<\/strong> sob a LGPD, GDPR, PCI-DSS e HIPAA, a perda de dados pessoais ou de pagamento pode implicar multas severas e obriga\u00e7\u00e3o de notifica\u00e7\u00e3o p\u00fablica \u2014 o que agrava o dano reputacional.<\/li>\n<\/ul>\n

        Em setores regulados, como sa\u00fade e finan\u00e7as, a presen\u00e7a de uma vulnerabilidade explorada ativamente no per\u00edmetro \u00e9 considerada falha grave de due diligence. Auditores t\u00eam cada vez mais exigido evid\u00eancias de resposta r\u00e1pida a CVEs com KEV da CISA, e a CVE-2026-48907<\/strong> certamente figurar\u00e1 em futuros question\u00e1rios de seguran\u00e7a. Na JRT Technology Solutions, nossos clientes corporativos contam com varredura cont\u00ednua de CVEs e alertas em tempo real sobre entradas no cat\u00e1logo KEV, permitindo reduzir o tempo de exposi\u00e7\u00e3o de semanas para horas.<\/p>\n

        Como se Proteger \u2014 Mitiga\u00e7\u00e3o Completa para a CVE-2026-48907 Explora\u00e7\u00e3o Ativa Vulnerabilidade<\/h3>\n

        A\u00e7\u00f5es imediatas s\u00e3o necess\u00e1rias para conter a amea\u00e7a. Abaixo, um plano de resposta em seis etapas, que cobre desde a conten\u00e7\u00e3o emergencial at\u00e9 a valida\u00e7\u00e3o da corre\u00e7\u00e3o:<\/p>\n

          \n
        1. Aplicar o patch oficial (vers\u00e3o 3.9.12) IMEDIATAMENTE.<\/strong> Acesse o painel de extens\u00f5es do Joomla, procure por \u201cWidget Factory\u201d e clique em \u201cAtualizar\u201d. Se o update autom\u00e1tico n\u00e3o estiver dispon\u00edvel, baixe o pacote do site oficial do fornecedor e instale manualmente via upload ZIP. Reinicie o PHP-FPM ou Apache ap\u00f3s a atualiza\u00e7\u00e3o para garantir que o cache de opcode seja limpo.<\/li>\n
        2. Remover o plugin completamente, se n\u00e3o for estritamente necess\u00e1rio.<\/strong> Muitas organiza\u00e7\u00f5es descobrir\u00e3o que o Widget Factory foi instalado como depend\u00eancia de um template e nunca foi utilizado. Nesse caso, desinstale-o pelo gerenciador de extens\u00f5es e delete manualmente as pastas \/plugins\/content\/widgetfactory\/<\/code> e \/media\/widgetfactory\/<\/code> do servidor.<\/li>\n
        3. Bloquear os endpoints vulner\u00e1veis via WAF ou configura\u00e7\u00e3o do servidor web.<\/strong> Adicione regras para rejeitar requisi\u00e7\u00f5es para os caminhos \/plugins\/content\/widgetfactory\/rest\/<\/code> e \/plugins\/content\/widgetfactory\/upload.php<\/code>. No Apache, use RewriteRule ^plugins\/content\/widgetfactory\/(rest|upload) - [F]<\/code>; no Nginx, um bloco location ~ ^\/plugins\/content\/widgetfactory\/(rest|upload) { deny all; }<\/code>. Essa medida compra tempo enquanto o patch \u00e9 aplicado.<\/li>\n
        4. Executar uma varredura forense em busca de webshells.<\/strong> Procure por arquivos PHP criados nos \u00faltimos 30 dias dentro de diret\u00f3rios grav\u00e1veis pelo usu\u00e1rio do servidor web (\/images<\/code>, \/media<\/code>, \/tmp<\/code>, \/cache<\/code>). Use ferramentas como o find<\/code> do Linux com par\u00e2metros de data e assinaturas YARA para detectar c\u00f3digo malicioso. A JRT Technology Solutions recomenda o uso de scanners de integridade de arquivos como AIDE ou Tripwire.<\/li>\n
        5. Rotacionar todas as credenciais armazenadas no Joomla.<\/strong> Isso inclui a senha do banco de dados, chaves de API, tokens de servi\u00e7os de terceiros (gateways de pagamento, provedores de e-mail) e credenciais de FTP\/SSH que possam estar no configuration.php<\/code> ou em componentes. Considere tamb\u00e9m redefinir as senhas de todos os usu\u00e1rios do Joomla, especialmente administradores.<\/li>\n
        6. Implementar monitoramento cont\u00ednuo e alertas para explora\u00e7\u00f5es futuras.<\/strong> Nosso SOC monitora alertas CISA KEV em tempo real e pode configurar dashboards personalizados para sua equipe. A gest\u00e3o de vulnerabilidades deve incluir scan di\u00e1rio de todos os ativos web, com prioriza\u00e7\u00e3o autom\u00e1tica baseada em explora\u00e7\u00e3o ativa.<\/li>\n<\/ol>\n

          Verifica\u00e7\u00e3o P\u00f3s-Patch: Garantindo que a CVE-2026-48907 Esteja Realmente Corrigida<\/h3>\n

          Ap\u00f3s aplicar a corre\u00e7\u00e3o, \u00e9 vital confirmar que a vulnerabilidade n\u00e3o persiste \u2014 vers\u00f5es customizadas, patches mal aplicados ou plugins conflitantes podem manter o vetor de ataque aberto. Recomendamos o seguinte checklist de valida\u00e7\u00e3o:<\/p>\n