{"id":13337,"date":"2026-07-01T23:29:02","date_gmt":"2026-07-01T21:29:02","guid":{"rendered":"https:\/\/www.serverprofis.de\/?p=13337"},"modified":"2026-07-01T23:46:46","modified_gmt":"2026-07-01T21:46:46","slug":"joomla-jce-sicherheitslucke","status":"publish","type":"post","link":"https:\/\/www.serverprofis.de\/joomla-jce-sicherheitslucke\/","title":{"rendered":"Kritische Joomla-Sicherheitsl\u00fccke im JCE-Editor \u2013 jetzt handeln (CVE-2026-48907)"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Seit Juni 2026 gibt es eine kritische <strong>Joomla JCE Sicherheitsl\u00fccke<\/strong> (CVE-2026-48907), die aktiv und automatisiert ausgenutzt wird. In diesem Beitrag erfahren Sie, ob Ihre Website von der Joomla JCE Sicherheitsl\u00fccke betroffen ist \u2013 und wie Sie die L\u00fccke Schritt f\u00fcr Schritt schlie\u00dfen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Das Wichtigste in K\u00fcrze<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Was:<\/strong> Kritische Sicherheitsl\u00fccke im weit verbreiteten Joomla-Editor <strong>JCE (Joomla Content Editor)<\/strong> \u2013 Kennung <strong>CVE-2026-48907<\/strong>, Schweregrad <strong>CVSS 10.0 (maximal)<\/strong>.<\/li>\n\n\n\n<li><strong>Gefahr:<\/strong> Angreifer k\u00f6nnen <strong>ohne Login<\/strong> Schadcode (PHP) auf den Server hochladen und ausf\u00fchren \u2013 vollst\u00e4ndige \u00dcbernahme der Website.<\/li>\n\n\n\n<li><strong>Betroffen:<\/strong> Alle JCE-Versionen <strong>bis einschlie\u00dflich 2.9.99.4<\/strong>.<\/li>\n\n\n\n<li><strong>L\u00f6sung:<\/strong> Sofort auf <strong>JCE 2.9.99.7<\/strong> (oder neuer) aktualisieren.<\/li>\n\n\n\n<li><strong>Achtung:<\/strong> Die L\u00fccke wird <strong>aktiv und automatisiert ausgenutzt<\/strong>. Ein Update schlie\u00dft zwar die T\u00fcr \u2013 eine bereits gehackte Seite muss zus\u00e4tzlich bereinigt werden.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Was ist passiert?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Im Juni 2026 wurde die <strong>Joomla JCE Sicherheitsl\u00fccke<\/strong> im <strong>Joomla Content Editor (JCE)<\/strong> bekannt \u2013 einem der meistgenutzten Editor-Erweiterungen f\u00fcr Joomla. Die US-Sicherheitsbeh\u00f6rde <strong>CISA<\/strong> hat die L\u00fccke in ihren Katalog der \u201ebekannten, aktiv ausgenutzten Schwachstellen&#8220; (Known Exploited Vulnerabilities) aufgenommen. Funktionierender Angriffscode ist \u00f6ffentlich verf\u00fcgbar, und automatisierte Bots durchsuchen das Internet gezielt nach verwundbaren Joomla-Installationen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Wir sehen die Auswirkungen aktuell auch direkt bei betroffenen Kundenseiten \u2013 deshalb dieser Beitrag mit einer konkreten Anleitung.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Wie gef\u00e4hrlich ist die L\u00fccke?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Sehr gef\u00e4hrlich. Es handelt sich um eine <strong>\u201eUnauthenticated Remote Code Execution&#8220;<\/strong> \u2013 zu Deutsch: ein Angreifer kann <em>ohne jegliche Anmeldung und ohne Nutzerinteraktion<\/em> aus der Ferne Schadcode auf Ihrem Server ausf\u00fchren. Konkret nutzt der Angriff eine L\u00fccke im Profil-Import des Editors aus, um eine getarnte PHP-Datei (eine sogenannte \u201eWebshell&#8220;) hochzuladen und auszuf\u00fchren.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Mit einer solchen Webshell kann ein Angreifer typischerweise:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>die komplette Website und deren Inhalte manipulieren oder l\u00f6schen,<\/li>\n\n\n\n<li>Spam-Mails \u00fcber Ihren Server versenden (Gefahr: IP-Sperren\/Blacklisting),<\/li>\n\n\n\n<li>die Seite zur Verbreitung von Schadsoftware oder f\u00fcr Phishing missbrauchen,<\/li>\n\n\n\n<li>Kundendaten aus der Datenbank auslesen,<\/li>\n\n\n\n<li>sich dauerhaft im System einnisten (Backdoors).<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Bin ich von der Joomla JCE Sicherheitsl\u00fccke betroffen?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Betroffen sind Sie, wenn <strong>beide<\/strong> Punkte zutreffen:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Ihre Website l\u00e4uft mit <strong>Joomla<\/strong> (Version 3, 4 oder 5).<\/li>\n\n\n\n<li>Die Erweiterung <strong>JCE<\/strong> ist installiert \u2013 und zwar in einer Version <strong>2.9.99.4 oder \u00e4lter<\/strong>.<\/li>\n<\/ol>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>So pr\u00fcfen Sie Ihre JCE-Version:<\/strong> Melden Sie sich im Joomla-Backend an und \u00f6ffnen Sie <em>System \u2192 Verwalten \u2192 Erweiterungen<\/em> (bzw. <em>Erweiterungen \u2192 Verwalten \u2192 Verwalten<\/em>). Suchen Sie nach \u201eJCE&#8220; und lesen Sie die installierte Versionsnummer ab.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Anleitung: Joomla JCE Sicherheitsl\u00fccke schlie\u00dfen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Bitte gehen Sie <strong>z\u00fcgig<\/strong> vor \u2013 idealerweise heute noch.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Schritt 1: Datensicherung erstellen<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Legen Sie vor allen \u00c4nderungen eine vollst\u00e4ndige Sicherung Ihrer Website an (Dateien <em>und<\/em> Datenbank). Falls Ihre Seite bereits kompromittiert wurde, hilft die Sicherung au\u00dferdem bei der sp\u00e4teren Spurenanalyse.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Schritt 2: JCE aktualisieren (der wichtigste Schritt)<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Aktualisieren Sie JCE auf die aktuelle, sichere Version <strong>2.9.99.7<\/strong> (oder neuer):<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Am einfachsten \u00fcber das Joomla-Backend: <em>Komponenten \u2192 JCE Editor \u2192 nach Updates suchen<\/em>, alternativ <em>System \u2192 Aktualisierung \u2192 Erweiterungen aktualisieren<\/em>.<\/li>\n\n\n\n<li>Alternativ das aktuelle Paket von der offiziellen Seite <a href=\"https:\/\/www.joomlacontenteditor.net\" target=\"_blank\" rel=\"noopener nofollow\">joomlacontenteditor.net<\/a> herunterladen und \u00fcber <em>Erweiterungen \u2192 Installieren<\/em> einspielen.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Hinweis zur Version:<\/strong> Erst 2.9.99.5 (03.06.2026) hat die L\u00fccke geschlossen; 2.9.99.7 (18.06.2026) behebt zus\u00e4tzlich ein Upload-Problem der Zwischenversion und bringt weitere H\u00e4rtungen. Aktualisieren Sie daher direkt auf <strong>2.9.99.7 oder neuer<\/strong>.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Schritt 3: \u00c4ltere Joomla-Installationen (Joomla 3)<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr Seiten, die die Anforderungen der aktuellen Version (PHP 7.4 \/ Joomla 3.10) noch nicht erf\u00fcllen, stellt der JCE-Hersteller ein <strong>kostenloses Sicherheits-Patch-Paket<\/strong> f\u00fcr die Reihen 2.7.x, 2.8.x und 2.9.x bereit. Dieses schlie\u00dft ausschlie\u00dflich die L\u00fccke, ohne die zus\u00e4tzlichen H\u00e4rtungen der neuen Version. <strong>Besser ist immer das vollst\u00e4ndige Update<\/strong> \u2013 planen Sie bei veralteten Joomla-Versionen zeitnah eine Aktualisierung von Joomla selbst ein.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Schritt 4: Pr\u00fcfen, ob die Seite bereits gehackt wurde<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Ein Update schlie\u00dft die L\u00fccke, entfernt aber <strong>keine bereits hinterlassene Schadsoftware<\/strong>. Pr\u00fcfen Sie daher auf typische Angriffsspuren:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Fremde Editor-Profile:<\/strong> \u00d6ffnen Sie <em>Komponenten \u2192 JCE Editor \u2192 Editor-Profile<\/em>. Verd\u00e4chtig sind automatisch benannte Profile (z. B. ein \u201eJ&#8220; gefolgt von sechs Ziffern wie <code>J940401<\/code>) oder Profile mit Namen\/Beschreibungen wie \u201ePwned&#8220; bzw. \u201eRCE via JCE&#8220;. Solche Profile l\u00f6schen.<\/li>\n\n\n\n<li><strong>Fremde PHP-Dateien in Upload-Ordnern:<\/strong> In den Verzeichnissen <code>\/images<\/code>, <code>\/media<\/code> und <code>\/tmp<\/code> darf <strong>kein PHP-Code<\/strong> liegen. Achten Sie besonders auf getarnte Dateien (z. B. <code>.xml.php<\/code> oder Bilddateien mit angeh\u00e4ngter <code>.php<\/code>-Endung).<\/li>\n\n\n\n<li><strong>Server-Logs:<\/strong> Aufrufe von <code>index.php?option=com_jce&amp;task=profiles.import<\/code> \u2013 oft direkt gefolgt von <code>task=plugin.rpc&amp;method=upload<\/code> \u2013 sind ein deutliches Angriffssignal.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">Schritt 5: Bei Kompromittierung \u2013 bereinigen und Zug\u00e4nge sichern<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Wurde Ihre Seite bereits angegriffen, reicht das Update allein nicht:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Fremde JCE-Profile und alle Schaddateien entfernen.<\/li>\n\n\n\n<li><strong>Alle Passw\u00f6rter \u00e4ndern<\/strong>: Joomla-Administratoren, Datenbank, FTP\/SSH und Hosting-Zugang.<\/li>\n\n\n\n<li>Aktive Sitzungen ung\u00fcltig machen und alle Backend-Benutzer auf unbekannte Admin-Konten pr\u00fcfen.<\/li>\n\n\n\n<li>Einen vollst\u00e4ndigen Malware-Scan der Website durchf\u00fchren.<\/li>\n<\/ol>\n\n\n\n<p class=\"wp-block-paragraph\">Da eine saubere Bereinigung Erfahrung erfordert und \u00fcbersehene Backdoors schnell zur erneuten Infektion f\u00fchren, unterst\u00fctzen wir Sie hier gerne (siehe unten).<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Warum das Einspielen eines alten Backups nicht gen\u00fcgt<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Ein h\u00e4ufiger Irrtum: \u201eIch spiele einfach ein Backup ein, dann ist alles gut.&#8220; Das ist gef\u00e4hrlich \u2013 aus zwei Gr\u00fcnden:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Enth\u00e4lt das Backup noch die <strong>alte, verwundbare JCE-Version<\/strong>, ist die L\u00fccke sofort wieder offen und die Seite wird erneut gehackt.<\/li>\n\n\n\n<li>Liegt der Angriff schon l\u00e4nger zur\u00fcck, ist die Backdoor unter Umst\u00e4nden <strong>bereits im Backup enthalten<\/strong>.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Nach dem Einspielen eines Backups also <strong>immer zuerst JCE aktualisieren<\/strong> und anschlie\u00dfend auf Angriffsspuren pr\u00fcfen \u2013 sonst ist die Joomla JCE Sicherheitsl\u00fccke sofort wieder offen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Serverprofis hilft Ihnen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Sie sind sich unsicher, ob Ihre Joomla-Seite von der Joomla JCE Sicherheitsl\u00fccke betroffen oder bereits kompromittiert ist? Unser Team unterst\u00fctzt Sie \u2013 von der Pr\u00fcfung \u00fcber das Update bis zur vollst\u00e4ndigen Bereinigung. Als Anbieter von <a href=\"https:\/\/www.serverprofis.de\/webhosting\/\">sicherem Webhosting aus Deutschland<\/a> sind wir f\u00fcr Sie da. Melden Sie sich einfach bei uns:<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Wir empfehlen allen Joomla-Kunden mit JCE dringend, das Update zeitnah durchzuf\u00fchren \u2013 die L\u00fccke wird derzeit aktiv ausgenutzt.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Seit Juni 2026 gibt es eine kritische Joomla JCE Sicherheitsl\u00fccke (CVE-2026-48907), die aktiv und automatisiert ausgenutzt wird. In diesem Beitrag erfahren Sie, ob Ihre Website von der Joomla JCE Sicherheitsl\u00fccke betroffen ist \u2013 und wie Sie die L\u00fccke Schritt f\u00fcr Schritt schlie\u00dfen. Das Wichtigste in K\u00fcrze Was ist passiert? Im Juni 2026 wurde die Joomla&#8230;<\/p>\n","protected":false},"author":2,"featured_media":13339,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_kad_blocks_custom_css":"","_kad_blocks_head_custom_js":"","_kad_blocks_body_custom_js":"","_kad_blocks_footer_custom_js":"","_kadence_starter_templates_imported_post":false,"_kad_post_transparent":"","_kad_post_title":"","_kad_post_layout":"","_kad_post_sidebar_id":"","_kad_post_content_style":"","_kad_post_vertical_padding":"","_kad_post_feature":"","_kad_post_feature_position":"","_kad_post_header":false,"_kad_post_footer":false,"_kad_post_classname":"","footnotes":""},"categories":[9,128],"tags":[183,184,182,101],"class_list":["post-13337","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog","category-sicherheit","tag-jce","tag-jce-editor","tag-joomla","tag-sicherheitsluecke"],"acf":[],"taxonomy_info":{"category":[{"value":9,"label":"Blog"},{"value":128,"label":"Sicherheit"}],"post_tag":[{"value":183,"label":"jce"},{"value":184,"label":"jce-editor"},{"value":182,"label":"joomla"},{"value":101,"label":"sicherheitsl\u00fccke"}]},"featured_image_src_large":["https:\/\/www.serverprofis.de\/wp-content\/uploads\/2026\/07\/joomla-jce-1024x576.png",1024,576,true],"author_info":{"display_name":"Maximilian Tarantino","author_link":"https:\/\/www.serverprofis.de\/author\/sp_max\/"},"comment_info":0,"category_info":[{"term_id":9,"name":"Blog","slug":"blog","term_group":0,"term_taxonomy_id":9,"taxonomy":"category","description":"","parent":0,"count":74,"filter":"raw","cat_ID":9,"category_count":74,"category_description":"","cat_name":"Blog","category_nicename":"blog","category_parent":0},{"term_id":128,"name":"Sicherheit","slug":"sicherheit","term_group":0,"term_taxonomy_id":128,"taxonomy":"category","description":"","parent":0,"count":9,"filter":"raw","cat_ID":128,"category_count":9,"category_description":"","cat_name":"Sicherheit","category_nicename":"sicherheit","category_parent":0}],"tag_info":[{"term_id":183,"name":"jce","slug":"jce","term_group":0,"term_taxonomy_id":183,"taxonomy":"post_tag","description":"","parent":0,"count":1,"filter":"raw"},{"term_id":184,"name":"jce-editor","slug":"jce-editor","term_group":0,"term_taxonomy_id":184,"taxonomy":"post_tag","description":"","parent":0,"count":1,"filter":"raw"},{"term_id":182,"name":"joomla","slug":"joomla","term_group":0,"term_taxonomy_id":182,"taxonomy":"post_tag","description":"","parent":0,"count":1,"filter":"raw"},{"term_id":101,"name":"sicherheitsl\u00fccke","slug":"sicherheitsluecke","term_group":0,"term_taxonomy_id":101,"taxonomy":"post_tag","description":"","parent":0,"count":2,"filter":"raw"}],"_links":{"self":[{"href":"https:\/\/www.serverprofis.de\/wp-json\/wp\/v2\/posts\/13337","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.serverprofis.de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.serverprofis.de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.serverprofis.de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.serverprofis.de\/wp-json\/wp\/v2\/comments?post=13337"}],"version-history":[{"count":2,"href":"https:\/\/www.serverprofis.de\/wp-json\/wp\/v2\/posts\/13337\/revisions"}],"predecessor-version":[{"id":13340,"href":"https:\/\/www.serverprofis.de\/wp-json\/wp\/v2\/posts\/13337\/revisions\/13340"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.serverprofis.de\/wp-json\/wp\/v2\/media\/13339"}],"wp:attachment":[{"href":"https:\/\/www.serverprofis.de\/wp-json\/wp\/v2\/media?parent=13337"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.serverprofis.de\/wp-json\/wp\/v2\/categories?post=13337"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.serverprofis.de\/wp-json\/wp\/v2\/tags?post=13337"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}