- Joomla Version
- J3 bis aktuelle Joomla-Versionen
- PHP Version
- Unbekannt
- Hoster
- alle
Es wird dringend empfohlen den JCE-Editor auf aktuellste Version zu aktualisieren. Egal, ob FREE oder kostenpflichtige Version.
So muss sein oder höher:
Neues Sicherheitsrelease für JCE-Editor
-
Re:Later -
28. Mai 2026 um 23:21 -
Unerledigt
-
erster Hack mit JCE entdeckt....
-
erster Hack mit JCE entdeckt....
Hast du da genaue Infos zum mechanismus? Die Ankündigung sagt, dass eine aktive, gültige Session eines autorisierten Users notwendig ist...
-
ich schicke Dir das Log.
-
Anmerkung:
Auf allen meiner Seiten war ein Update über "Erweiterung verwalten" nicht möglich. Ich musste das .4 paket herunterladen und von hand über "Paketdatei hochladen" aus dem Ordner installieren... -
Neue Version 2-9-99-5 :
Das ist eine kritische Sicherheitsfreigabe. Alle JCE Pro-Nutzer sollten sofort aktualisieren.
-
Notfall-Sicherheitsupdate
Liebe JCE-Nutzer, bitte aktualisiert SOFORT auf die neue JCE Version, die vor ein paar Minuten erscheinen ist. Es wird eine sehr schwere Sicherheitslücke gefixt, die die Ausführung von beliebigem Code erlaubt.
Prüft nach dem Update bitte auch die Liste der Editor Profile. Wenn dort ein neues Profil vorhanden ist, bei dem die Public Usergroup hinzugefügt ist, dann müsst ihr die Seite leider als gehackt betrachten.
-
Kurze Frage:
Das Profil Sample Markdown ist doch von JCE?
Habe es nur bei einem Kunden gesehen und bin nicht sicher, ob dies bei der Installation angelegt wird.
-
Das Profil Sample Markdown ist doch von JCE?
Ja!
-
Da Markdown in allen gefixten Webseiten vorhanden war bzw. ist, gehe ich davon aus, dass nicht alle Seiten gehackt wurden und somit dieses Profil zum JCE gehört.
-
entscheidender ist:
bei dem die Public Usergroup hinzugefügt ist
Ich deaktiviere in JCE immer alle nicht benötigten Profile oder lösche sie sogar. Macht die Sache dann übersichtlicher oder in der jetzigen Situation etwas leichter.
-
Re:Later Du meinst beim Editor auch hier nachsehen:
-
Nein!
Ich meine hier:
JCE-Profile öffnen.
Deaktivieren oder löschen, welche man nicht benötigt. In verbliebenen gucken (egal, ob deaktiviert oder nicht), ob die Public/Öffentlich-User-Gruppe drinnen steht, was nicht sein soll.
Auch die Guest/Gäste-Gruppe wird in den meisten Fällen nicht erwünscht sein. Es mag kuriose Ausnahmen geben... In der momentanen Situation (ich weiß ja nicht genau, wie der Hack exakt erfolgt), würde ich solch Einstellungen aber wohl generell nicht machen oder halt... whatever.
-
Re:Later So wie ich es verstanden habe, erlaubt die Lücke ein NEUES Profil ohne entsprechende Prüfung hochzuladen. Ein Angreifer könnte dann beim neuen Profil die Usergroup Öffentlich hinzufügen und so dann im Nachgang Code einschleusen. Ein ändern / überschreiben der bestehenden Benutzergruppen ist wohl nicht möglich.
-
Per Default ist in keiner der Standard-Profile in der User-Group-Einstellung die Gruppen "Public" und/oder "Guest" eingetragen.
Also so prüfen:
- Standard Profile prüfen (Default, Front End, Blogger, Mobile, Markdown)
- Auf neue Profile prüfen (mit Public / Guest in der User-Group Einstellung)
- Im Ordner "images" auf php-Dateien prüfen (dies war bei einem aktuellen Hack der Fall. Ob das immer so sein wird kann man nicht sagen. Angreifer können solche Dateien auch schnell wieder entfernen und woanders Backdoors versteckt haben)
Wenn man bei 2 und 3 fündig wird ist das Web sicher gehackt.
Wenn bei 1. eine Gruppe "Public" oder "Guest" eingetragen ist, dann den Grund ermitteln. Solche Einträge wären sehr ungewöhnlich. JCE sollte niemals ohne Authentifizierung erreichbar sein.
-
... JCE sollte niemals ohne Authentifizierung erreichbar sein.
Was/Wie meinst du genau?
-
Was/Wie meinst du genau?
Regietrieter Login für Joomla.
-
o wie ich es verstanden habe, erlaubt die Lücke ein NEUES Profil ohne entsprechende Prüfung hochzuladen.
Das hab ich schon verstanden. Ich denke halt weiter und obiges war ja eher ein altbekannter Tipp, dass man sich das Leben erleichtert, wenn man so viel als möglich von Anfang an aus Joomla raus schmeißt. Das machts in STresssituationen sooo viel leichter
Wär ich Häcker, würde ich das Profil anlegen, ausnutzen, dann aber gleich wieder löschen, wenn ich meine primären Untäten begangen habe. Weil man braucht das dann ja nicht mehr, wenn man z.B. andere Backdoors hochgelden hat etc. Die brauchen keine Lücke mehr im JCE oder Astroid oder... (we will see).
Deswegen ist der Tipp oben, z.B. zusätzlich nach PHP-Dateien zu suchen so wichtig, wenn man ein schlechtes Gefühl hat.
Wenn ich das Bearbeiten und/oder Anlegen von Inhalten der Öffentlichkeit möglich machen will, dann kann man JCE so filigran konfigurieren, noch dazu im Zusammenspiel mit sonstiger, allgemeiner Rechteverwaltung in Joomla, dass man durchaus den Zugriff auf JCE erlauben kann, wenn man weiß, was man tut, natürlich. Einrichten dauert seine Zeit und ich will da niemanden verleiten...
Wenn aber eine direkte Lücke das Anlegen neuer Profile erlaubt und Zeugs, ist man natürlich machtlos.
-
Pascal hat sich nun auch dem Thema gewidmet und gibt ausführliche Infos.
-
~27 Tsd Info Mails an detected JCE Nutzer sind auch schon raus 🙈
