CISA Cảnh báo về Lỗ hổng Joomla JCE Đang bị Khai thác Tích cực Cho phép Thực thi Mã PHP

Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) vào thứ Ba đã thêm một lỗi bảo mật có mức độ nghiêm trọng tối đa ảnh hưởng đến Widget Factory Joomla Content Editor (JCE) vào danh mục Các lỗ hổng đã bị khai thác (KEV), trích dẫn bằng chứng về việc khai thác tích cực. Lỗ hổng, được theo dõi là CVE-2026-48907 (điểm CVSS: 10.0), là một trường hợp kiểm soát truy cập không đúng cách có thể tạo điều kiện cho việc thực thi mã tùy ý.
\n
\n \"Joomla\n
\n\n

Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) vào thứ Ba đã thêm một lỗi bảo mật có mức độ nghiêm trọng tối đa ảnh hưởng đến Widget Factory Joomla Content Editor (JCE) vào danh mục Các lỗ hổng đã bị khai thác (KEV), trích dẫn bằng chứng về việc khai thác tích cực.

\n\n

Lỗ hổng này được theo dõi là CVE-2026-48907 (điểm CVSS: 10.0), là một trường hợp kiểm soát truy cập không đúng cách có thể tạo điều kiện cho việc thực thi mã tùy ý.

\n\n
\"Widget Factory Joomla Content Editor chứa một lỗ hổng kiểm soát truy cập không đúng cách, có thể cho phép tải lên và thực thi mã PHP thông qua việc tạo các hồ sơ biên tập mới cho người dùng chưa xác thực,\" CISA cho biết.
\n\n

Theo mô tả về lỗ hổng được công bố trên CVE.org, vấn đề nằm trong phần mở rộng trình biên tập JCE cho Joomla, cho phép kẻ xấu tạo các hồ sơ biên tập mới cho người dùng chưa xác thực, từ đó mở đường cho việc tải lên và thực thi mã PHP.

\n\n

Vấn đề này ảnh hưởng đến các phiên bản JCE từ 1.0.0 đến 2.9.99.4. Nó đã được vá trong phiên bản 2.9.99.5, phát hành vào ngày 3 tháng 6 năm 2026. Trong ghi chú phát hành, Widget Factory nói rằng \"kiểm soát truy cập không đầy đủ đã cho phép người dùng chưa xác thực tải lên các hồ sơ biên tập.\"

\n\n

Hiện tại chưa có thông tin chi tiết về cách thức lỗ hổng đang bị khai thác trong thực tế. Các cơ quan thuộc Nhánh Hành pháp Dân sự Liên bang (FCEB) đã được lệnh phải áp dụng các bản vá trước ngày 19 tháng 6 năm 2026.

\n\n

Nhiều chiến dịch tấn công nhắm vào các trang WordPress

\n\n

Tiết lộ này được đưa ra khi Sansec chi tiết hóa một chiến dịch tấn công chuỗi cung ứng mới nhắm mục tiêu vào hơn 1 triệu trang web sử dụng các plugin WordPress OptinMonster, TrustPulse và PushEngage. Trong đó, các tác nhân đe dọa đã chèn JavaScript độc hại để \"chờ một quản trị viên đăng nhập, tạo tài khoản quản trị cửa hậu (backdoor) và cài đặt một plugin cửa hậu tự ẩn mình.\"

\n\n

Trong một chiến dịch khác, những kẻ tấn công chưa xác định đã bị phát hiện xâm nhập một trang web WordPress để nhúng một plugin WordPress giả mạo có tên là \"Beloved PBN Entegrasyonu\". Plugin này âm thầm gửi tín hiệu URL của trang web đến một API bên ngoài mỗi khi tải trang và chèn HTML hoặc JavaScript tùy ý do máy chủ trả về vào chân trang (footer) của trang web.

\n\n

Chính xác cách thức kẻ tấn công xâm nhập vào trang web vẫn chưa rõ ràng, nhưng quyền truy cập này được cho là đã cho phép chúng cài đặt hai PHP web shell dưới dạng mã thực thi thô trong các bản ghi cơ sở dữ liệu \"wp_posts\" và cấp cho chúng khả năng tương tác với các tập lệnh qua HTTP. Điều này tạo điều kiện cho quyền đọc/ghi không giới hạn vào toàn bộ hệ thống tệp của máy chủ mà không cần bất kỳ sự xác thực nào.

\n\n

Cụ thể, các mã độc trú ngụ trong cơ sở dữ liệu cho phép tác nhân đe dọa thực hiện các hành động tệp như đọc, ghi, chỉnh sửa hoặc xóa bất kỳ tệp nào trên máy chủ, duyệt các thư mục trên toàn bộ máy chủ, thay đổi quyền truy cập tệp, đổi tên tệp, tạo tệp và thư mục mới, cũng như tải tệp lên từ máy tính của chính chúng.

\n\n
\"Mỗi khách truy cập vào trang web bị xâm nhập đều nhận được các liên kết PBN trỏ ra ngoài được chèn vào mã nguồn trang mỗi khi tải trang, gây thiệt hại trực tiếp đến thứ hạng tìm kiếm của trang web và có nguy cơ bị Google Search Console xử phạt thủ công,\" nhà nghiên cứu Puja Srivastava của Sucuri cho biết.
\n\n

\"Chiến dịch này được vận hành bởi một tác nhân đe dọa nói tiếng Thổ Nhĩ Kỳ và được xây dựng xung quanh một sơ đồ kiếm tiền SEO cổ điển: chèn liên kết ngược (backlink) ẩn cho Mạng lưới Blog Cá nhân (PBN), rất có thể liên quan đến lĩnh vực cờ bạc và nội dung người lớn.\"

\n