Vulnerabilidades

Múltiples vulnerabilidades en componentes y extensiones de Joomla

En las últimas semanas se identificaron múltiples vulnerabilidades críticas y altas en extensiones para el CMS Joomla las cuales podrían permitir a atacantes no autenticados crear nuevos perfiles de editor, cargar archivos arbitrarios y ejecutar códigos de forma remota.

Las vulnerabilidades identificadas corresponden a CVE-2026-48907, CVE-2026-48908 y CVE-2026-49049.

Productos Afectados

  • Joomla Content Editor, JCE, versiones anteriores a 2.9.99.5. (CVE-2026-48907).
  • SP Page Builder para Joomla, versiones anteriores a 6.6.2. (CVE-2026-48908).
  • Helix3 para Joomla, versiones 1.0 a 3.1.1 inclusive. (CVE-2026-49049).

Impacto y explotación

CVE-2026-48907: Afecta a Joomla Content Editor (JCE), una extensión utilizada como editor visual de contenido en Joomla. La vulnerabilidad permitiría que usuarios no autenticados creen nuevos perfiles de editor, lo que puede derivar en ejecución de código remota. 

CVE-2026-48908: Afecta a SP Page Builder, una extensión utilizada para la construcción visual de páginas en Joomla. La vulnerabilidad permitiría que usuarios no autenticados carguen archivos arbitrarios en el servidor, pudiendo derivar en la carga y ejecución de código PHP no autorizado. Se encuentra siendo explotada activamente in the wild.

CVE-2026-49049: Afecta a Helix3, un framework utilizado en plantillas de Joomla. La vulnerabilidad expone un handler AJAX que podría ser accedido por atacantes no autenticados para eliminar archivos arbitrarios, escribir archivos JSON y modificar parámetros de templates. 

Remediación

Se recomienda actualizar las extensiones afectadas a versiones corregidas o superiores, priorizando aquellos sitios Joomla expuestos a Internet.

Para CVE-2026-48907, se recomienda actualizar Joomla Content Editor (JCE) a la versión 2.9.99.5 o posterior. En caso de no poder actualizar de forma inmediata por incompatibilidades con la versión de Joomla o PHP, se deberá aplicar el parche de seguridad publicado por el proveedor para ramas anteriores soportadas, y planificar la actualización completa del componente.

Para CVE-2026-48908, se recomienda actualizar SP Page Builder a la versión 6.6.2 o posterior. Luego de la actualización, se deberá verificar que los archivos del componente hayan sido reemplazados correctamente y que no permanezcan archivos vulnerables o modificados dentro de las rutas del componente.

Para CVE-2026-49049, se recomienda actualizar Helix3 a la versión más reciente disponible publicada por el proveedor. En particular, se deberá verificar la actualización de los plugins System - Helix3 Framework y Helix3 - Ajax, ya que la vulnerabilidad se encuentra asociada al handler AJAX expuesto por Helix3.

Recomendaciones

  • Identificar si sus instalaciones utilizan Joomla Content Editor, SP Page Builder o Helix3, y verificar las versiones.
  • Revisar logs de acceso web, en búsqueda de comportamiento sospechoso.
  • Limitar el acceso al panel de administración de Joomla por filtrado de IP
  • Analizar directorios modificados recientemente y los utilizados para carga de contenido: como /images/, /media/, /tmp/, /cache/ y /templates/
  • Si identifica compromiso de algún sitio, comunicar al CERTuy y aislar el equipo afectado.

Referencias

Etiquetas