La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el martes la falla de seguridad de mayor gravedad que afecta a Widget Factory Joomla Content Editor (JCE) a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa.
Esta vulnerabilidad se rastrea como CVE-2026-48907 (puntuación CVSS: 10.0) y puede permitir la ejecución de código arbitrario debido a controles de acceso inadecuados.
«Widget Factory Joomla Content Editor contiene una vulnerabilidad de control de acceso inadecuado que podría permitir que se cargue y ejecute código PHP creando un nuevo perfil de editor para un usuario no autenticado», dijo CISA.
Según la descripción de la vulnerabilidad publicada en CVE.org, la falla existe en la extensión del editor JCE de Joomla y permite a un atacante malicioso crear un nuevo perfil de editor para un usuario no autenticado, allanando efectivamente el camino para cargar y ejecutar código PHP.
Este problema afecta a las versiones de JCE 1.0.0 a 2.9.99.4. Parchado en la versión 2.9.99.5 lanzada el 3 de junio de 2026. Widget Factory dijo en sus notas de la versión que «los controles de acceso insuficientes permitieron a un usuario no autenticado cargar perfiles de editor».
En este momento, no hay información sobre cómo se está explotando esta vulnerabilidad en la naturaleza. Se ordena a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen las enmiendas antes del 19 de junio de 2026.
Múltiples campañas dirigidas a sitios de WordPress
La divulgación se produce cuando Sansec detalla una nueva campaña de ataque a la cadena de suministro dirigida a más de 1 millón de sitios que utilizan los complementos de WordPress OptinMonster, TrustPulse y PushEngage, donde los atacantes inyectaron JavaScript malicioso que «espera a que un administrador inicie sesión, crea una cuenta de administrador de puerta trasera e instala un complemento de puerta trasera que se oculta automáticamente».
En otra campaña, se descubrió que atacantes desconocidos comprometían sitios de WordPress e incorporaban un complemento falso de WordPress llamado «Beloved PBN Entegrasyonu». Este complemento envía secretamente la URL de su sitio a una API externa cada vez que se carga la página e inserta cualquier HTML o JavaScript devuelto por el servidor en el pie de página de su página web.
No está claro exactamente cómo los atacantes obtuvieron acceso al sitio web, pero se dice que este acceso les permitió organizar dos shells web PHP como código ejecutable sin procesar que contenía registros de base de datos «wp_posts» y manipular scripts a través de HTTP. Esto facilitó el acceso de lectura/escritura sin restricciones a todo el sistema de archivos del servidor sin necesidad de autenticación.
Específicamente, la carga útil residente en la base de datos permite a un atacante realizar operaciones de archivos como leer, escribir, editar y eliminar archivos en el servidor, explorar directorios en el servidor, cambiar permisos de archivos, cambiarles el nombre, crear nuevos archivos y carpetas y cargar archivos desde su propia computadora.
«Cada visitante de un sitio comprometido corría el riesgo de que se insertara un enlace saliente PBN en la fuente de la página cada vez que se cargaba la página, lo que dañaba directamente la clasificación de búsqueda del sitio y estaba sujeto a sanciones manuales en Google Search Console», dijo Puja Srivastava, investigadora de Sucuri.
«Esta campaña es operada por un actor de habla turca y se basa en un esquema clásico de monetización SEO: la inserción de vínculos de retroceso ocultos a redes de blogs privados (PBN), muy probablemente relacionados con los nichos de apuestas y afiliados para adultos».
Source link
