CISA KEV 16/06: falha crítica (CVSS 10.0) no Joomla JCE permite RCE sem autenticação

## Detalhes da Vulnerabilidade

A CISA adicionou CVE-2026-48907 ao seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) em 16 de junho de 2026, com prazo para correção em agências federais até **7 de julho de 2026**.

**Produto afetado:** Widget Factory Joomla Content Editor (JCE), versões 1.0.0 a 2.9.99.4 **CVSS:** 10.0 (crítico máximo) **Tipo:** Improper Access Control — controle de acesso impróprio na função de importação de perfis

## Como a exploração ocorre

Atacantes sem credenciais podem enviar requisições forjadas ao endpoint de importação de perfis, contornar verificações de segurança, criar um novo perfil de editor, fazer upload de arquivos PHP maliciosos e executá-los remotamente, obtendo um backdoor persistente no servidor.

Análises de campo mostram uso ativo para implantação de web shells, especialmente em servidores Linux.

## Versão afetada e correção

- **Vulnerável:** JCE 1.0.0 até 2.9.99.4 - **Corrigida:** JCE 2.9.99.5 (lançada em 3 de junho de 2026) - **Ação:** Atualizar imediatamente. Não há workaround disponível.

## Contexto

Este é o segundo aviso de máxima severidade da CISA em duas semanas para aplicações web amplamente utilizadas. Recomenda-se auditoria de servidores que tenham o JCE instalado e verificação de logs por atividade suspeita nos endpoints de importação.