1. Perché l’aggiornamento è urgente
  2. Dettagli tecnici della vulnerabilità
    1. Una breve panoramica dei profili degli editori di JCE
    2. Perché il caricamento di un profilo non autenticato è la parte pericolosa
  3. Un precedente storico
  4. Come aggiornare JCE
JCE (Joomla Content Editor) è l'estensione per editor di contenuti più diffusa sui siti Joomla. Il 3 giugno 2026 è stato rilasciato un aggiornamento di sicurezza per JCE Pro e JCE Free, la versione 2.9.99.5, che risolve una vulnerabilità classificata come grave.

Questa versione corregge un problema di controllo insufficiente degli accessi, che permetteva a un utente non autenticato di caricare un Editor Profile. Secondo lo sviluppatore, questa falla poteva consentire a un attaccante di caricare file arbitrari sul server, con potenziali conseguenze molto serie.

 

Perché l’aggiornamento è urgente

La vulnerabilità risolta in questa versione è più critica rispetto a quella affrontata nella release precedente (2.9.99.4):

  • la patch precedente riguardava problemi sfruttabili solo da utenti autenticati,

  • mentre questa nuova vulnerabilità poteva essere sfruttata anche da visitatori anonimi.

Questo rende l’aggiornamento assolutamente prioritario.

Dettagli tecnici della vulnerabilità

Gli Editor Profile di JCE definiscono:

  • quali pulsanti e funzioni mostrare nell’editor

  • quali file possono essere caricati

  • quali directory sono accessibili

  • quali permessi sono concessi agli utenti

La vulnerabilità permetteva a un utente non autenticato di caricare un nuovo profilo, potenzialmente configurato per consentire upload pericolosi in directory sensibili. In questo modo un attaccante poteva tentare di caricare file arbitrari, inclusi file eseguibili.

Una breve panoramica dei profili degli editori di JCE

La caratteristica distintiva di JCE è il suo sistema di profili editor. Invece di fornire a ogni utente connesso lo stesso editor, JCE consente a un amministratore di definire profili diversi per diversi gruppi di utenti. Un utente registrato potrebbe ottenere una barra degli strumenti semplificata senza funzionalità di caricamento file. Un editor di contenuti potrebbe avere a disposizione gestori di immagini e file limitati a una singola directory multimediale. Un superutente ottiene l'editor completo con ampie possibilità di gestione dei file.

Ciascun profilo definisce:

  • Quali pulsanti della barra degli strumenti sono visibili
  • Quali tipi di file possono essere caricati
  • In quali directory l'editor può navigare e caricare
  • Quali funzionalità avanzate (modelli, visualizzazione del codice e così via) sono esposte

Un profilo è, in effetti, un insieme di permessi del filesystem mascherati da editor. Controllando il profilo, si controllano le operazioni sui file che JCE eseguirà.

Perché il caricamento di un profilo non autenticato è la parte pericolosa

La vulnerabilità della versione 2.9.99.5 consisteva in una falla nel controllo degli accessi all'azione di caricamento (importazione) di un profilo editor. Prima della patch, tale azione non verificava correttamente che la richiesta provenisse da un utente autorizzato e autenticato. Una richiesta non autenticata poteva quindi raggiungerla.

Mettiamo insieme questi due fatti. Se un utente anonimo può caricare un profilo, e un profilo stabilisce quali tipi di file possono essere caricati e in quali directory, l'attaccante può definire un profilo sufficientemente permissivo da consentire il caricamento desiderato, e poi utilizzarlo. Questa è la strada indicata dallo sviluppatore con "caricare file arbitrari sul server".

Il fornitore non ha pubblicato una prova di concetto, il controller e il task esatti, né una catena di esecuzione di codice remoto confermata, quindi è opportuno considerare il risultato del caricamento arbitrario di file come il rischio realistico che la patch dovrebbe chiudere.

Un precedente storico

Nel 2012, un caricamento arbitrario di file senza autenticazione nell'ImageManager di JCE divenne una delle vulnerabilità di Joomla più sfruttate dell'epoca. Bot automatizzati scansionavano internet alla ricerca di installazioni di JCE vulnerabili, caricavano un file immagine apparentemente innocuo e lo rinominavano in .php, la porta di accesso tramite shell al server

Non ci sono prove che la nuova vulnerabilità sia già sfruttata attivamente, ma la storia dimostra che gli attacchi automatizzati arrivano rapidamente quando una falla è pubblica.

Come aggiornare JCE

Per aggiornare JCE su un sito Joomla:

  1. Accedi al pannello amministrativo.

  2. Vai su Sistema → Aggiornamento → Estensioni.

  3. Clicca su Verifica aggiornamenti.

  4. Aggiorna JCE alla versione più recente.

Per JCE Pro è necessaria una chiave di aggiornamento valida. JCE Free si aggiorna tramite il feed standard delle estensioni Joomla.

Dopo l’aggiornamento, ricarica l’editor per rigenerare eventuali asset in cache.

Tutte le versioni precedenti alla 2.9.99.5 sono vulnerabili. L’aggiornamento è semplice e va eseguito immediatamente.