Blog - Aktuelle Neuigkeiten
,

JCE-Editor-Sicherheitslücke: Sofortiger Handlungsbedarf für alle Joomla-Websites

joomla malware virus cleanup / removal

JCE (Joomla Content Editor) ist auf mehr Joomla-Websites vorinstalliert als jede andere Editor-Erweiterung. Wer mehrere Joomla-Seiten betreut, kann davon ausgehen, dass auf nahezu allen davon JCE installiert ist.

Am 3. Juni 2026 veröffentlichte der JCE-Entwickler die Versionen JCE Pro 2.9.99.5 sowie das passende JCE Free 2.9.99.5. Im Changelog findet sich ein einzelner Sicherheitshinweis – und es ist genau die Art, bei der man noch am selben Tag handeln sollte: Unzureichende Zugriffskontrollen ermöglichten es nicht authentifizierten Benutzern, Editor-Profile hochzuladen. Laut Entwickler konnte diese Schwachstelle ausgenutzt werden, um beliebige Dateien auf den Server zu laden – ein klassischer „arbitrary file upload“, der Angreifern im schlimmsten Fall vollständige Kontrolle über die betroffene Website verschaffen kann.

Am Montag, dem 8. Juni, folgte Version 2.9.99.6, die zusätzlich eine Härtungsfunktion bot. JCE Pro 2.9.99.6 ist die empfohlene Version für alle Joomla!-Websites.

Es war bereits das zweite JCE-Sicherheitsupdate innerhalb einer Woche. Das Release 2.9.99.4 vom 28. Mai schloss zwei Sicherheitslücken, die beide eine aktive Anmeldesitzung voraussetzten. Die neue Lücke hingegen nicht. Genau dieser Unterschied – authentifiziert vs. nicht authentifiziert – ist der Grund, warum dieses Update nicht „irgendwann diese Woche“ eingespielt werden sollte, sondern sofort.

Die Sicherheitslücke wird schon aktiv ausgenutzt, funktionierender Exploit-Code ist öffentlich und die Angriffe sind automatisiert.

Was ist zu tun?

Aktualisiere JCE auf allen betreuten Joomla-Websites umgehend auf Version 2.9.99.6 – egal ob Free oder Pro.

Version 2.9.99.6 benötigt PHP 7.4 und Joomla 3.10 oder höher. Für Websites, die diese Voraussetzungen noch nicht erfüllen, steht ein kostenloses Patch-Paket zur Verfügung, das die Sicherheitslücke in JCE 2.7.x, 2.8.x und 2.9.x behebt.

Prüfe anschließend die Serververzeichnisse auf unbekannte oder verdächtige Dateien, insbesondere in Upload-Ordnern wie /images, /media oder anderen öffentlich zugänglichen Verzeichnissen wie /tmp. Wurde deine Website bereits vor dem Update kompromittiert, reicht ein simples Update allein nicht aus – der Schadcode muss vollständig entfernt werden.

Angreifer nutzen den Profil-Import-Endpunkt aus, um ohne Authentifizierung schädliche Profile hochzuladen. Diese Profile müssen nach dem Update auch kontrolliert werden.

  • Navigieren Sie zu Komponenten -> JCE Editor -> Editor-Profile.
  • Suchen Sie nach Profilen, die Sie nicht selbst erstellt haben. Diese haben oft automatisch generierte, bedeutungslose Namen und befinden sich häufig ganz oben in der Liste.
  • Prüfen Sie, ob das Profil das Hochladen von .php-Dateien oder anderen ausführbaren Skriptdateien erlaubt.
  • Löschen Sie alle unbekannten oder verdächtigen Profile.

Website gehackt? Ich helfe dir.

Falls du den Verdacht hast, dass deine Joomla-Website bereits durch diese oder eine andere Sicherheitslücke kompromittiert wurde, stehe ich dir gerne zur Verfügung. Ich unterstütze dich bei der Analyse, Säuberung und Absicherung deiner Website – damit du wieder ruhig schlafen kannst.

Melde dich einfach bei mir – gemeinsam stellen wir die Sicherheit deiner Website schnell und zuverlässig wieder her.

Warum Ihre WordPress-Website die neueste Version von PHP 8 verwenden solltewordpress php version upgrade / update