{"id":1217,"date":"2026-06-17T07:47:53","date_gmt":"2026-06-17T07:47:53","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/17\/cisa-advierte-sobre-un-fallo-jce-de-joomla-explotado-activamente-que-permite-la-ejecucion-de-codigo-php-cyberdefensa-mx\/"},"modified":"2026-06-17T07:47:53","modified_gmt":"2026-06-17T07:47:53","slug":"cisa-advierte-sobre-un-fallo-jce-de-joomla-explotado-activamente-que-permite-la-ejecucion-de-codigo-php-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/17\/cisa-advierte-sobre-un-fallo-jce-de-joomla-explotado-activamente-que-permite-la-ejecucion-de-codigo-php-cyberdefensa-mx\/","title":{"rendered":"CISA advierte sobre un fallo JCE de Joomla explotado activamente que permite la ejecuci\u00f3n de c\u00f3digo PHP \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el martes agregado<\/a> una falla de seguridad de m\u00e1xima gravedad que afecta a Widget Factory Joomla Content Editor (JCE) en su cat\u00e1logo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotaci\u00f3n activa.<\/p>\n

La vulnerabilidad, rastreada como CVE-2026-48907<\/a><\/b> (Puntuaci\u00f3n CVSS: 10,0), es un caso de control de acceso inadecuado que podr\u00eda facilitar la ejecuci\u00f3n de c\u00f3digo arbitrario.<\/p>\n

\u00abWidget Factory Joomla Content Editor contiene una vulnerabilidad de control de acceso inadecuado que podr\u00eda permitir la carga y ejecuci\u00f3n de c\u00f3digo PHP mediante la creaci\u00f3n de nuevos perfiles de editor para usuarios no autenticados\u00bb, CISA dicho<\/a>.<\/p>\n

Seg\u00fan una descripci\u00f3n de la vulnerabilidad publicada en CVE.org, el problema reside en la extensi\u00f3n del editor JCE para Joomla, lo que permite a un mal actor crear nuevos perfiles de editor para usuarios no autenticados, allanando efectivamente el camino para la carga y ejecuci\u00f3n de c\u00f3digo PHP.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

El problema afecta a las versiones de JCE desde 1.0.0 hasta 2.9.99.4. Ha sido parcheado en la versi\u00f3n 2.9.99.5, lanzada el 3 de junio de 2026. En sus notas de la versi\u00f3n, Widget Factory dicho<\/a> \u00abLos controles de acceso insuficientes permitieron a usuarios no autenticados cargar perfiles de editor\u00bb.<\/p>\n

Actualmente no hay informaci\u00f3n sobre c\u00f3mo se est\u00e1 explotando la vulnerabilidad en la naturaleza. Se orden\u00f3 a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen las correcciones antes del 19 de junio de 2026.<\/p>\n

Varias campa\u00f1as se dirigen a sitios de WordPress<\/h3>\n

La divulgaci\u00f3n llega cuando Sansec detall\u00f3 una nueva campa\u00f1a de ataque a la cadena de suministro dirigida a m\u00e1s de 1 mill\u00f3n de sitios que utilizan los complementos de WordPress OptinMonster, TrustPulse y PushEngage, en la que los actores de la amenaza inyectaron JavaScript malicioso que \u00abespera a que un administrador inicie sesi\u00f3n, crea una cuenta de administrador de puerta trasera e instala un complemento de puerta trasera que se oculta autom\u00e1ticamente\u00bb.<\/a><\/p>\n

En otra campa\u00f1a, se descubri\u00f3 que atacantes desconocidos comprometieron un sitio de WordPress para incorporar un complemento falso de WordPress llamado \u00abBeloved PBN Entegrasyonu\u00bb que sigilosamente dirig\u00eda la URL del sitio a una API externa en cada carga de p\u00e1gina e inyectaba HTML o JavaScript arbitrario devuelto por el servidor en el pie de p\u00e1gina de la p\u00e1gina web.<\/p>\n

No est\u00e1 claro exactamente c\u00f3mo los atacantes violaron el sitio web, pero se dice que el acceso les permiti\u00f3 organizar dos shells web PHP como c\u00f3digo ejecutable sin procesar con los registros de la base de datos \u00abwp_posts\u00bb y les otorg\u00f3 la capacidad de interactuar con los scripts a trav\u00e9s de HTTP. Esto, a su vez, facilit\u00f3 el acceso de lectura\/escritura sin restricciones a todo el sistema de archivos del servidor sin necesidad de autenticaci\u00f3n.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Espec\u00edficamente, las cargas \u00fatiles residentes en la base de datos permiten al actor de amenazas realizar acciones de archivos, como leer, escribir, editar o eliminar cualquier archivo en el servidor, explorar directorios en todo el servidor, cambiar los permisos de los archivos, cambiar el nombre de los archivos, crear nuevos archivos y carpetas y cargar archivos desde su propia computadora.<\/p>\n

\u00abCada visitante del sitio comprometido recibi\u00f3 enlaces salientes PBN inyectados en la fuente de su p\u00e1gina en cada carga de p\u00e1gina, da\u00f1ando directamente las clasificaciones de b\u00fasqueda del sitio y arriesg\u00e1ndose a una penalizaci\u00f3n manual en Google Search Console\u00bb, dijo el investigador de Sucuri, Puja Srivastava. dicho<\/a>.<\/p>\n

\u00abLa campa\u00f1a es operada por un actor de amenazas de habla turca y se basa en un esquema cl\u00e1sico de monetizaci\u00f3n SEO: inyecci\u00f3n de v\u00ednculo de retroceso oculto para una red de blogs privada (PBN), muy probablemente vinculada al nicho de apuestas y afiliados adultos\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el martes agregado una falla de seguridad de m\u00e1xima gravedad que afecta a Widget Factory Joomla Content Editor (JCE) en su cat\u00e1logo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotaci\u00f3n activa. La vulnerabilidad, rastreada como CVE-2026-48907 (Puntuaci\u00f3n CVSS: 10,0), es un caso […]<\/p>\n","protected":false},"author":1,"featured_media":752,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[339,51,100,376,24,766,66,990,3153,3154,265,1549,54],"class_list":["post-1217","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-activamente","tag-advierte","tag-cisa","tag-codigo","tag-cyberdefensa-mx","tag-ejecucion","tag-explotado","tag-fallo","tag-jce","tag-joomla","tag-permite","tag-php","tag-sobre"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1217","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=1217"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1217\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/752"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=1217"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=1217"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=1217"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}