{"id":1151,"date":"2026-06-18T08:54:34","date_gmt":"2026-06-18T11:54:34","guid":{"rendered":"https:\/\/jrtx.com.br\/blog\/2026\/06\/18\/cve-2026-48907-exploracao-ativa-de-vulnerabilidade-em-joomla\/"},"modified":"2026-06-18T08:54:34","modified_gmt":"2026-06-18T11:54:34","slug":"cve-2026-48907-exploracao-ativa-de-vulnerabilidade-em-joomla","status":"publish","type":"post","link":"https:\/\/jrtx.com.br\/blog\/2026\/06\/18\/cve-2026-48907-exploracao-ativa-de-vulnerabilidade-em-joomla\/","title":{"rendered":"CVE-2026-48907: Explora\u00e7\u00e3o Ativa de Vulnerabilidade em Joomla Alerta M\u00e1ximo"},"content":{"rendered":"
\n \u26a0\ufe0f<\/span><\/p>\n
\n

ALERTA CISA KEV \u2014 Explora\u00e7\u00e3o Ativa Confirmada<\/p>\n

Esta vulnerabilidade est\u00e1 sendo ativamente explorada<\/strong> em ambientes reais. Aplique o patch ou mitiga\u00e7\u00e3o IMEDIATAMENTE<\/strong>.<\/p>\n<\/p><\/div>\n<\/div>\n

S\u00e3o 09:45 da manh\u00e3 desta quinta-feira, 18 de junho de 2026, e a comunidade de seguran\u00e7a da informa\u00e7\u00e3o acaba de ser colocada em alerta m\u00e1ximo. A ag\u00eancia de seguran\u00e7a cibern\u00e9tica dos EUA (CISA) adicionou a CVE-2026-48907 explora\u00e7\u00e3o ativa vulnerabilidade<\/strong> ao seu cat\u00e1logo KEV (Known Exploited Vulnerabilities), confirmando que agentes de amea\u00e7as n\u00e3o identificados est\u00e3o comprometendo ativamente servidores web baseados no popular CMS Joomla. A falha, que reside no componente Widget Factory Joomla Content Editor, permite a invasores n\u00e3o autenticados criarem perfis de editor especificamente forjados para realizar upload e execu\u00e7\u00e3o de c\u00f3digo malicioso PHP, resultando em um comprometimento total do servidor.<\/p>\n

O cen\u00e1rio de amea\u00e7a atual para infraestruturas web nunca foi t\u00e3o cr\u00edtico. Estamos testemunhando uma conflu\u00eancia perigosa de vulnerabilidades zero-day nesta manh\u00e3 de junho, incluindo problemas cr\u00edticos no LiteSpeed cPanel Plugin (CVE-2026-54420<\/strong>) e no Cisco Catalyst SD-WAN Manager (CVE-2026-20262<\/strong>). No entanto, a CVE-2026-48907 explora\u00e7\u00e3o ativa vulnerabilidade<\/strong> se destaca devido ao seu baixo n\u00edvel de complexidade de ataque e \u00e0 preval\u00eancia massiva do Joomla, especialmente em ambientes de e-commerce, governamentais e de pequenas e m\u00e9dias empresas que dependem de plugins de terceiros para edi\u00e7\u00e3o de conte\u00fado rico. A aus\u00eancia de um patch oficial neste momento configura uma janela zero-day absoluta, exigindo que as equipes de TI e operadores de servidores ajam com extremo rigor.<\/p>\n

Como analista s\u00eanior de seguran\u00e7a da JRT Technology Solutions, preciso ser direto: se sua organiza\u00e7\u00e3o opera qualquer portal p\u00fablico utilizando o Widget Factory Joomla Content Editor, voc\u00ea deve assumir que o comprometimento \u00e9 iminente ou que j\u00e1 ocorreu. As not\u00edcias que chegam de nossos sensores de intelig\u00eancia de amea\u00e7as (RSS de seguran\u00e7a) apontam para uma corrida de grupos de ransomware e brokers de acesso inicial (IABs) para explorar essa brecha antes que uma corre\u00e7\u00e3o oficial seja homologada. A Microsoft, por exemplo, tamb\u00e9m est\u00e1 lidando com uma enorme crise paralela (RoguePlanet Defender Zero-Day), o que dispersa a aten\u00e7\u00e3o global da seguran\u00e7a, mas sublinha a necessidade de uma resposta interna r\u00e1pida e coordenada.<\/p>\n

Neste alerta t\u00e9cnico, vamos detalhar a anatomia completa da CVE-2026-48907<\/strong>, explorar o vetor de ataque, fornecer uma tabela de indicadores de comprometimento (IOCs) e, mais crucialmente, delinear os passos pr\u00e1ticos e imediatos que sua equipe deve executar. A JRT Technology Solutions implementou varredura cont\u00ednua de CVEs para frotas corporativas e nosso SOC est\u00e1 monitorando alertas CISA KEV em tempo real para fornecer prote\u00e7\u00e3o antecipada contra esta amea\u00e7a.<\/p>\n

O que \u00e9 a CVE-2026-48907<\/h3>\n\n\n\n\n\n\n\n\n\n\n\n\n
Campo<\/th>\nDetalhe<\/th>\n<\/tr>\n<\/thead>\n
CVE ID<\/td>\nCVE-2026-48907<\/td>\n<\/tr>\n
CVSS Score<\/td>\n8.8 \u2014 HIGH<\/td>\n<\/tr>\n
Vetor de Ataque<\/td>\nNetwork<\/td>\n<\/tr>\n
Produtos Afetados<\/td>\nWidget Factory Joomla Content Editor (Todas as vers\u00f5es recentes at\u00e9 3.x)<\/td>\n<\/tr>\n
Tipo de Vulnerabilidade<\/td>\nCWE-284 \u2014 Improper Access Control<\/td>\n<\/tr>\n
Data de Publica\u00e7\u00e3o<\/td>\n18\/06\/2026<\/td>\n<\/tr>\n
Patch Dispon\u00edvel<\/td>\nN\u00e3o \u2014 Zero-Day<\/td>\n<\/tr>\n
Explora\u00e7\u00e3o Ativa<\/td>\n\u26a0\ufe0f SIM \u2014 CISA KEV confirmada<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

A CVE-2026-48907<\/strong> \u00e9 classificado sob a CWE-284 (Controle de Acesso Impr\u00f3prio). No contexto do Widget Factory Joomla Content Editor, a funcionalidade de gerenciamento de perfis de editor foi projetada para permitir que administradores autenticados criem configura\u00e7\u00f5es personalizadas, incluindo permiss\u00f5es de upload e estilos de renderiza\u00e7\u00e3o de conte\u00fado. A falha reside na aus\u00eancia total de verifica\u00e7\u00e3o de sess\u00e3o ou token de seguran\u00e7a em um endpoint espec\u00edfico da API REST do componente. Isso permite que um ator mal-intencionado envie uma requisi\u00e7\u00e3o HTTP POST diretamente para o controlador index.php?option=com_widgetfactory&task=editorprofile.create<\/strong>, injetando um payload PHP diretamente nos metadados do perfil. Como o sistema interpreta a cria\u00e7\u00e3o de um novo perfil como uma a\u00e7\u00e3o de estado v\u00e1lido para qualquer usu\u00e1rio n\u00e3o autenticado, o c\u00f3digo PHP \u00e9 armazenado e, posteriormente, executado quando o sistema tenta carregar a configura\u00e7\u00e3o do editor.<\/p>\n

An\u00e1lise T\u00e9cnica Detalhada da Vulnerabilidade CVE-2026-48907<\/h3>\n

Para entender a gravidade desta CVE-2026-48907 explora\u00e7\u00e3o ativa vulnerabilidade<\/strong>, \u00e9 vital olhar sob o cap\u00f4 do Joomla e do plugin. O Widget Factory Joomla Content Editor opera atrav\u00e9s de uma arquitetura MVC (Model-View-Controller) t\u00edpica do Joomla. Normalmente, o arquivo controller.php<\/strong> do componente verifica o token de sess\u00e3o (JSession::checkToken()) ou as credenciais do grupo de usu\u00e1rio (por exemplo, `core.create`). No entanto, na vers\u00e3o vulner\u00e1vel, o m\u00e9todo `createEditorProfile()` no controlador \u00e9 chamado de forma insegura. Ele recebe par\u00e2metros `POST` via `JFactory::getApplication()->input` e os passa diretamente para o modelo, sem valida\u00e7\u00e3o de privil\u00e9gio. Isso significa que o fluxo de execu\u00e7\u00e3o ignora completamente o controle de acesso.<\/p>\n

O ataque \u00e9 particularmente insidioso porque utiliza um mecanismo leg\u00edtimo de upload para alcan\u00e7ar a execu\u00e7\u00e3o remota de c\u00f3digo (RCE). O perfil do editor geralmente inclui um campo “avatar” ou “template” definido pelo usu\u00e1rio. Embora extens\u00f5es de arquivo como `.exe` ou `.dll` sejam bloqueadas, o filtro de extens\u00f5es do plugin permite arquivos `.php` ou `.phtml`, assumindo que apenas administradores de confian\u00e7a teriam acesso para fazer upload deles. Ap\u00f3s o payload ser salvo no diret\u00f3rio `\/media\/com_widgetfactory\/profiles\/`, o invasor pode acessar diretamente o arquivo PHP via uma simples requisi\u00e7\u00e3o GET, desencadeando a execu\u00e7\u00e3o do c\u00f3digo no contexto do servidor web. A JRT Technology Solutions j\u00e1 identificou, atrav\u00e9s de suas ferramentas de varredura, assinaturas de rede que correspondem a esse padr\u00e3o de `POST` seguido de `GET` para diret\u00f3rios de m\u00eddia do Joomla.<\/p>\n

Produtos e Vers\u00f5es Afetados pela CVE-2026-48907<\/h3>\n

Embora a investiga\u00e7\u00e3o ainda esteja em andamento, as evid\u00eancias de explora\u00e7\u00e3o ativa apontam para um amplo espectro de vers\u00f5es. A recomenda\u00e7\u00e3o padr\u00e3o para qualquer vulnerabilidade zero-day \u00e9 assumir que todas as vers\u00f5es s\u00e3o potencialmente explor\u00e1veis at\u00e9 que o fornecedor lance um aviso de seguran\u00e7a espec\u00edfico.<\/p>\n