CISA přidala do katalogu aktivně zneužívaných zranitelností čtyři nové záznamy týkající se zařízení Ubiquiti UniFi OS a průmyslového serveru Lantronix EDS5000. Termín záplat je 26. června.
Nové zranitelnosti v katalogu CISA KEV – vydání 25b CISA přidala do katalogu Known Exploited Vulnerabilities jeden nový záznam datovaný 16. června – zranitelnost v doplňku Joomla Content Editor od Widget Factory. CVE-2026-48907 – Widget Factory Joomla Content Editor (přidáno 16. 6. 2026; ransomwarová vazba: neznámá) Doplněk Joomla Content Editor (JCE) od Widget Factory obsahuje zranitelnost nesprávného řízení přístupu (CWE-284). Prostřednictvím ní může neautentizovaný útočník vytvořit nové editorské profily a následně nahrát a spustit PHP kód na postiženém serveru. Zranitelnost tedy umožňuje vzdálené spuštění kódu bez jakékoliv předchozí autentizace. JCE je jedním z nejrozšířenějších rozšíření pro systém správy obsahu Joomla a jeho zranitelnost potenciálně postihuje velký počet webů provozovaných po celém světě. Záplata je dostupná od výrobce; Widget Factory zároveň nabízí bezplatnou opravu i pro starší verze doplňku, které již nejsou v aktivní podpoře – podmínky a postup jsou popsány na stránce bezpečnostní aktualizace JCE. Administrátoři webů provozujících JCE by měli okamžitě ověřit verzi doplňku a aktualizaci aplikovat; lhůta stanovená CISA pro federální úřady USA je velmi krátká (do 19. 6. 2026), což odráží závažnost zranitelnosti a riziko aktivního zneužití. Zdroj CISA katalog JCE – bezpečnostní aktualizace Kontakt Další články
