Přeskočit na hlavní obsah

Nepřijímejte slepě sekundární informace v japonštině týkající se zranitelností Joomly.

| Alaudae.JP

V červnu 2026 byla v rozšíření JCE (Joomla Content Editor), jednom z nejpoužívanějších editorů pro Joomlu, zveřejněna zranitelnost nejvyšší závažnosti CVE-2026-48907 (CVSS 10.0). Umožňuje neověřené třetí straně spustit na serveru libovolný PHP kód bez přihlášení a automatizované útoky po celém světě stále pokračují. Na zasažených systémech jde o závažný problém, který je třeba řešit s nejvyšší prioritou.

Zároveň jsem mezi japonsky psanými výklady o tomto incidentu narazil na některé, které obsahují nepřesná tvrzení nebo již zastaralé informace. Jako člověk, který také provozuje web na Joomle, bych se rád podělil o ověřená fakta a vyzval k jisté opatrnosti.

Správná časová osa

  • 3. června Vydáno JCE 2.9.99.5 (oprava CVE-2026-48907). Toto je fakticky začátek zveřejnění.
  • 6.-8. června Přidáno 2.9.99.6 (posílení zabezpečení).
  • 9. června Na GitHubu byl zveřejněn kód proof-of-concept (PoC) a od tohoto okamžiku začaly naplno automatizované hromadné útoky.
  • 16. června Americká CISA jej zařadila do katalogu Known Exploited Vulnerabilities (KEV). Aktivní zneužívání bylo potvrzeno.
  • 18. června Bylo vydáno 2.9.99.7. To je aktuálně doporučená verze.

Můžete také narazit na vyjádření o tomto incidentu jako "poprvé prolomeno pomocí AI" nebo "Joomla nebyla mnoho let napadena." Dovolím si malé technické doplnění: jádrem tohoto problému je chybějící kontrola oprávnění a nedostatečné kontroly nahrávání souborů, tedy typ problému, který je znám již dlouho. Realitě je bližší chápat to tak, že útoky se staly automatizovanými a rozsáhlými v důsledku zveřejnění PoC.

Nejdůležitější bod: samotná aktualizace nestačí

Jak jasně uvádějí i oficiální pokyny, aktualizace pouze uzavře "vstupní bod" útoku; nevyčistí web, který už byl kompromitován. Pokud existují známky průniku, je třeba jednat s předpokladem, že mohl být přečten i obsah konfiguračního souboru (configuration.php).

Přinejmenším vyměňte všechny následující přihlašovací údaje.

  • Heslo administrátora Joomly
  • Přístupové údaje k databázi
  • Heslo k hostingu / ovládacímu panelu
  • Přístupové údaje FTP / SSH
  • Vygenerujte nový secret v configuration.php (klíč relace a tokenu)
  • Znovu vydejte API klíče externích služeb, jako je Stripe

Pouhé obnovení staré zálohy vrátí zpět staré klíče a stará hesla, takže uniklé informace zůstávají v platnosti. Také místo volby bodu obnovy "zhruba před několika měsíci" je správným postupem zkontrolovat v přístupových protokolech nejstarší záznam neověřeného požadavku (na `task=profiles.import`) a vybrat zálohu z doby před tímto bodem. Na obnovené soubory vždy spusťte také kontrolu na malware.

Joomla 3 / 4 již dosáhly konce životnosti (EOL)

Toto je zásadnější bod, oddělený od této konkrétní zranitelnosti.

  • Joomla 3 dosáhla EOL v srpnu 2023. Rozšířená bezpečnostní podpora (eLTS) skončila také v únoru 2025 a žádné bezpečnostní aktualizace jakéhokoli druhu se již neposkytují.
  • Joomla 4 rovněž dosáhla konce aktivní podpory v říjnu 2024.
  • Aktuální verze jsou Joomla 5 (podporovaná do října 2027) a Joomla 6.

Mezi japonsky psanými informačními weby jsou stále některé, které jako svůj hlavní obsah nadále nabízejí "jak nastavit Joomlu 3" a "jak nastavit Joomlu 4." I když to může být přijatelné jako reference pro údržbu stávajících webů, není důvod, aby si někdo, kdo staví nový web, vybíral tyto verze. CMS, který již nedostává aktualizace, je pro útočníka "cíl, o němž je známo, že se neopraví." Použít staré postupy jako základ znamená zvolit zranitelný výchozí bod hned od začátku.

Abyste tomu slepě nevěřili: ověřujte primární zdroje

Hodnota bezpečnostních informací se výrazně liší podle toho, kdo je napsal a kdy. Když narazíte na sekundární informace nebo souhrnné články, vždy si je ověřte oproti primárním zdrojům, jako jsou následující.

  • Oficiální bezpečnostní oznámení Joomly (developer.joomla.org)
  • Poznámky k vydání od vývojáře JCE (joomlacontenteditor.net)
  • Katalog KEV americké CISA a odpovídající záznamy CVE/NVD

Staré datum aktualizace, stav podpory verze, který neodpovídá současné situaci, postupy reakce, které nezahrnují rotaci přihlašovacích údajů. I když takové články vypadají dobře zpracované, je bezpečnější nespoléhat se na ně jako na základ svých rozhodnutí.

Joomla je při správné údržbě dostatečně robustní CMS. Právě proto je provozování na základě přesných a aktuálních informací podle mého názoru odpovědností každého jednotlivého uživatele.

*Tento článek vychází z veřejně dostupných primárních zdrojů (oficiální Joomla, vývojář JCE, CISA KEV, CVE/NVD) a shrnuje informace k červnu 2026.*

Isamu Hibari / Alaudae.JP

Další příběhy