Kritische Sicherheitslücke im Joomla Content Editor (JCE)


Als die mit Abstand am weitesten verbreitete Editor-Erweiterung für Joomla steht der JCE (Joomla Content Editor) aktuell im Fokus einer kritischen Schwachstelle. Wegen der enormen Reichweite des Plugins ist die Bedrohungslage für Joomla-Websites extrem hoch.

Das Entwicklerteam reagierte am 3. Juni 2026 mit der Veröffentlichung von JCE 2.9.99.5, um diese Sicherheitslücke zu schließen.

Das Risiko

  • Angriff ohne Login: Unangemeldete Angreifer können beliebige Dateien auf den Server hochladen.
  • Alle Installationen betroffen: Die Lücke betrifft alle Versionen von JCE Free und JCE Pro vor Version 2.9.99.5.
  • Unabhängig von Registrierungen: Die Website ist verwundbar, sobald der JCE Editor installiert ist – auch wenn die Benutzerregistrierung deaktiviert ist.

Sofortige Maßnahme

  • Update einspielen: Aktualisieren Sie den JCE Editor in Ihrem Joomla-Backend umgehend auf die Version 2.9.99.5.
  • Keinen Aufschub: Betreiber und Administratoren von Joomla-Websites sollten diese Aktualisierung sofort durchführen.

Woran Sie eine mögliche Kompromittierung erkennen

Der wichtigste Check direkt nach dem Update: Öffnen Sie Komponente -> JCE Editor -> Editor-Profile und gehen Sie die Liste durch.
Die Standard-Profile heißen: Default, Front End, Blogger, Mobile und Markdown. Diese Profile sind unbedenklich. Markdown fehlt auf vielen Seiten und taucht eher bei einem frisch installierten als bei einem aktualisierten JCE auf. Auch das ist vollkommen normal.Wann besteht Alarmbereitschaft?
Alarm ist angesagt, wenn in der Liste ein Profil mit einem Zufallsnamen (wie etwa kx36bs oder default01) steht. Wachsamkeit ist auch geboten, wenn einem Profil die Benutzergruppe Public (Gast/Öffentlich) zugewiesen ist. In diesen Fällen müssen Sie die Seite als kompromittiert betrachten. Genau über diese Sicherheitslücke verschafft sich ein Angreifer nämlich Zugriff. Löschen Sie das betroffene Profil dann bitte nicht einfach. Lassen Sie die Seite stattdessen vollständig prüfen und bereinigen.Zusatzhinweise
Die Methoden der Hacker unterscheiden sich stark. Ein infiziertes System ist deshalb nicht immer sofort sichtbar.

  • Sichtbare Profile: Einige Angreifer legen neue JCE-Profile im Joomla-Backend an, um sich Zugriff zu verschaffen und belassen die Profile einfach.
  • Spurenlose Angriffe: Andere Hacker nutzen dieselbe Lücke, löschen das Profil nach dem Einbruch aber sofort wieder.

Wenn in einem System keine neuen JCE-Profile zu finden sind, ist das leider keine Entwarnung. Die Website kann dennoch unbemerkt gehackt worden sein. Um eine Infektion des Joomla-Systems endgültig nachzuweisen oder sicher auszuschließen, ist daher immer eine Überprüfung der Dateien per FTP notwendig.Mehr Hintergrundinfos zu der Sicherheitslücke im JCE Editor finden Sie in diesem Artikel.

Benötigen Sie Hilfe? Senden Sie uns eine Anfrage.

Kontakt

Lehrer-Wübbel-Str. 7
26892 Heede
Telefon: 04963 2240
Mobil: 0172 5312240
E-Mail: info@schwarte-computer.de

PC Konfigurator

Konfigurieren Sie sich Ihren Aquado Wunsch-PC!
Wir liefern hochwertige und zuverlässige Qualität zu günstigen Preisen.

» PC-Konfigurator öffnen