Múltiples vulnerabilidades en componentes y extensiones de Joomla

Las vulnerabilidades identificadas corresponden a CVE-2026-48907, CVE-2026-48908 y CVE-2026-49049.
Productos Afectados
- Joomla Content Editor, JCE, versiones anteriores a 2.9.99.5. (CVE-2026-48907).
- SP Page Builder para Joomla, versiones anteriores a 6.6.2. (CVE-2026-48908).
- Helix3 para Joomla, versiones 1.0 a 3.1.1 inclusive. (CVE-2026-49049).
Impacto y explotación
CVE-2026-48907: Afecta a Joomla Content Editor (JCE), una extensión utilizada como editor visual de contenido en Joomla. La vulnerabilidad permitiría que usuarios no autenticados creen nuevos perfiles de editor, lo que puede derivar en ejecución de código remota.
CVE-2026-48908: Afecta a SP Page Builder, una extensión utilizada para la construcción visual de páginas en Joomla. La vulnerabilidad permitiría que usuarios no autenticados carguen archivos arbitrarios en el servidor, pudiendo derivar en la carga y ejecución de código PHP no autorizado. Se encuentra siendo explotada activamente in the wild.
CVE-2026-49049: Afecta a Helix3, un framework utilizado en plantillas de Joomla. La vulnerabilidad expone un handler AJAX que podría ser accedido por atacantes no autenticados para eliminar archivos arbitrarios, escribir archivos JSON y modificar parámetros de templates.
Remediación
Se recomienda actualizar las extensiones afectadas a versiones corregidas o superiores, priorizando aquellos sitios Joomla expuestos a Internet.
Para CVE-2026-48907, se recomienda actualizar Joomla Content Editor (JCE) a la versión 2.9.99.5 o posterior. En caso de no poder actualizar de forma inmediata por incompatibilidades con la versión de Joomla o PHP, se deberá aplicar el parche de seguridad publicado por el proveedor para ramas anteriores soportadas, y planificar la actualización completa del componente.
Para CVE-2026-48908, se recomienda actualizar SP Page Builder a la versión 6.6.2 o posterior. Luego de la actualización, se deberá verificar que los archivos del componente hayan sido reemplazados correctamente y que no permanezcan archivos vulnerables o modificados dentro de las rutas del componente.
Para CVE-2026-49049, se recomienda actualizar Helix3 a la versión más reciente disponible publicada por el proveedor. En particular, se deberá verificar la actualización de los plugins System - Helix3 Framework y Helix3 - Ajax, ya que la vulnerabilidad se encuentra asociada al handler AJAX expuesto por Helix3.
Recomendaciones
- Identificar si sus instalaciones utilizan Joomla Content Editor, SP Page Builder o Helix3, y verificar las versiones.
- Revisar logs de acceso web, en búsqueda de comportamiento sospechoso.
- Limitar el acceso al panel de administración de Joomla por filtrado de IP
- Analizar directorios modificados recientemente y los utilizados para carga de contenido: como /images/, /media/, /tmp/, /cache/ y /templates/
- Si identifica compromiso de algún sitio, comunicar al CERTuy y aislar el equipo afectado.
Referencias
- Acceder a NVD, CVE-2026-48907
- Acceder a NVD, CVE-2026-48908
- Acceder a NVD, CVE-2026-49049
- Acceder a JCE - Security update and free patch for older sites
- Acceder a JoomShaper - Helix3 download / changelog
- Acceder a mySites.guru - SP Page Builder Zero Day RCE Fixed in 6.6.2
- Acceder a mySites.guru - Helix3 3.1.1 Security Fix
