Joomla-JCE-Lücke: CVE-2026-48907 wird aktiv ausgenutzt

Das unterschätzte Einfallstor: die eigene Website

Wenn von Cyberangriffen die Rede ist, denken die meisten an E-Mails, Firewalls oder Arbeitsplatzrechner. Die Firmenwebsite gerät dabei leicht aus dem Blick — sie läuft, sie ist erreichbar, und nach dem Aufsetzen kümmert sich oft niemand mehr aktiv darum. Genau diese Ruhe macht sie zum Ziel. Eine Website ist rund um die Uhr aus dem Internet erreichbar, und die Erweiterungen, mit denen sie betrieben wird, werden selten so konsequent aktualisiert wie das Betriebssystem auf den Servern dahinter.

Aktuell trifft das viele Joomla-Websites. Eine als kritisch eingestufte Schwachstelle in einem der verbreitetsten Joomla-Plugins wird seit Wochen automatisiert ausgenutzt. Betroffen ist nicht Joomla selbst, sondern eine sehr häufig installierte Zusatzkomponente — was die Lücke besonders breit wirksam macht. Dieser Beitrag erklärt, worum es geht, warum „aktiv ausgenutzt" den Zeitdruck erhöht, und welche Schritte Sie als Betreiber jetzt gehen sollten.

Auf einen Blick

• Die Lücke: CVE-2026-48907 — so die standardisierte Kennung der Schwachstelle — mit dem Höchstwert 10,0 von 10 auf der Schweregrad-Skala.
• Betroffen: Joomla-Websites mit dem Plugin JCE (Joomla Content Editor) bis einschließlich Version 2.9.99.4. Die Lücke steckt im Plugin, nicht im Joomla-Kern.
• Die Folge: Ein nicht angemeldeter Angreifer kann ohne gültige Zugangsdaten fremden Programmcode auf dem Webserver ausführen lassen — eine sogenannte unauthentifizierte Remote-Code-Ausführung.
• Der Status: Die US-Behörde CISA hat die Lücke am 16. Juni 2026 in ihren Katalog aktiv ausgenutzter Schwachstellen aufgenommen. Die Angriffe laufen automatisiert und treffen auch Websites ohne offene Registrierung.
• Die Abhilfe: der Patch JCE 2.9.99.5, veröffentlicht am 3. Juni 2026.

Was JCE ist — und warum die Lücke so breit wirkt

Joomla ist ein weit verbreitetes Content-Management-System, mit dem sich Websites pflegen lassen, ohne den Quelltext direkt zu bearbeiten. Wie bei vielen solchen Systemen kommt der eigentliche Funktionsumfang über Erweiterungen hinzu. JCE, kurz für Joomla Content Editor, ist eine dieser Erweiterungen: ein Editor, mit dem Redakteure Texte, Bilder und Medien komfortabel in die Website einpflegen. Der Editor ist seit Jahren etabliert und auf einer sehr großen Zahl von Joomla-Websites im Einsatz — genau das macht eine Lücke darin so folgenreich. Eine einzelne verwundbare Komponente, die auf vielen Seiten gleich läuft, ist für automatisierte Angriffe ein lohnendes Ziel.

Praktisch bedeutet die Schwachstelle: Ein Angreifer muss sich nicht anmelden und kein Passwort kennen. Er kann über die Lücke eigenen Programmcode auf den Webserver bringen und dort ausführen lassen. Damit liegt nicht mehr nur der Inhalt der Website offen, sondern der Server, auf dem sie läuft — mit allem, was dort erreichbar ist: Dateien, Datenbankzugänge, möglicherweise hinterlegte Kundendaten.

Dass die Lücke mit dem Höchstwert 10,0 bewertet ist, fasst diese Punkte zusammen: aus dem Internet erreichbar, ohne Anmeldung ausnutzbar, mit weitreichender Wirkung. Entscheidend für den Zeitdruck ist jedoch der Zusatz „aktiv ausgenutzt". Die CISA-Aufnahme am 16. Juni 2026 bedeutet, dass die Lücke nicht theoretisch besteht, sondern bereits in laufenden Angriffen verwendet wird. Diese Angriffe laufen automatisiert: Schadprogramme suchen das Internet eigenständig nach verwundbaren Joomla-Websites ab, unabhängig von deren Größe oder Bekanntheit. Es braucht also niemanden, der eine bestimmte Website gezielt ins Visier nimmt — es genügt, dass sie erreichbar und nicht aktualisiert ist.

Was Sie jetzt tun sollten

Wenn Ihre Firmenwebsite auf Joomla läuft — selbst betrieben oder von einer Agentur betreut —, gehören die folgenden Schritte jetzt auf die Tagesordnung:

• Verwendete Versionen feststellen. Klären Sie, ob auf Ihrer Website Joomla mit dem Plugin JCE im Einsatz ist und welche Version des Plugins läuft. Eine Ausgabe bis einschließlich 2.9.99.4 ist betroffen. Falls Sie das nicht selbst beantworten können, ist genau das die erste Frage an Ihre IT oder Ihren Dienstleister.
• Auf 2.9.99.5 oder neuer aktualisieren. Spielen Sie den Patch ein, der seit dem 3. Juni 2026 verfügbar ist. Warten Sie damit nicht auf das nächste reguläre Wartungsfenster — bei einer aktiv ausgenutzten Lücke zählt jeder Tag.
• Auf Anzeichen einer Kompromittierung prüfen — das ist der oft übersehene Schritt. Die Angriffe laufen bereits seit Wochen. Daher reicht das Update allein nicht aus: Wurde über die Lücke vor dem Patch eine Hintertür auf dem Server abgelegt — etwa eine sogenannte Webshell, über die ein Angreifer dauerhaft Zugriff behält —, dann bleibt diese auch nach dem Update aktiv. Das Aktualisieren schließt die offene Tür, entfernt aber nicht, was womöglich bereits hindurchgegangen ist. Lassen Sie die Website daher auf unbekannte Dateien und nicht erklärbare Administrator-Konten untersuchen.
• Protokolle und Sicherungen bewahren. Sichern Sie die Server- und Zugriffsprotokolle sowie ein Backup des aktuellen Zustands, bevor Sie umfangreich aufräumen. Diese Daten sind im Verdachtsfall die Grundlage, um nachzuvollziehen, ob und wann etwas passiert ist.
• Den Datenschutz mitdenken. Falls über Ihre Website personenbezogene Daten zugänglich sind — etwa aus Kontaktformularen, einem Login-Bereich oder einem Shop — und der Verdacht besteht, dass diese durch einen erfolgreichen Angriff offengelegen haben oder abgeflossen sind, kann eine Meldepflicht nach Artikel 33 DSGVO entstehen. Sie verlangt im einschlägigen Fall eine Meldung an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden. Ob ein konkreter Fall meldepflichtig ist, hängt von den Umständen ab und sollte fachlich bewertet werden — wichtig ist, diesen Punkt früh mitzudenken und nicht erst im Nachhinein.

Fazit

Eine Website ist keine Anschaffung, die man einmal aufsetzt und dann sich selbst überlässt — sie ist eine laufende Anwendung, die wie jede andere Pflege braucht. CVE-2026-48907 führt das deutlich vor Augen: Eine einzelne, lange nicht aktualisierte Erweiterung genügt, um den ganzen Server angreifbar zu machen. Und weil die Lücke bereits aktiv ausgenutzt wird, gehört zur Reaktion mehr als nur das Einspielen des Updates — nämlich der prüfende Blick, ob bereits etwas geschehen ist.

Wenn Sie nicht sicher sind, welche Komponenten Ihre Website antreiben oder ob sie auf einem sicheren Stand sind, sehen wir uns das gemeinsam an: Wir prüfen den Versions- und Patch-Stand, untersuchen die Seite auf Anzeichen einer Kompromittierung und richten eine laufende Wartung mit Updates und Monitoring ein — damit Ihre Website nicht zum stillen Einfallstor wird.