Zum Hauptinhalt springen

Kritische Sicherheitslücke im JCE Editor - und wie wir unsere Kund:innen geschützt haben

Anfang Juni 2026 wurde eine kritische Sicherheitslücke im weit verbreiteten Joomla-Editor JCE (Joomla Content Editor) bekannt. Wir haben sofort gehandelt - hier erklären wir, was passiert ist, was wir unternommen haben und was das für Sie als Kund:in bedeutet.

Sigrid Gramlinger
von Sigrid Gramlinger
05. Juni 2026
Das Bild ist mit Hilfe von KI generiert.

Inhaltsverzeichnis

Was ist der JCE Editor und warum setzen wir ihn ein?

Der JCE Editor ist eine der meistgenutzten Erweiterungen in der gesamten Joomla-Welt. Wir verwenden ihn auf fast allen Kunden-Websites - und das aus guten Gründen:

Der Standard-Editor von Joomla, TinyMCE, ist funktional, aber eingeschränkt. Der JCE bietet darüber hinaus wichtige Möglichkeiten:

  • Kontrollierter Datei- und Bild-Upload: Verzeichnisse lassen sich für Benutzer:innengruppen gezielt einschränken.
  • Sauberes Einfügen aus Word & Co.: Beim Copy & Paste aus Word bereinigt der JCE den mitkopierten Code automatisch.
  • Fein abgestimmte Berechtigungen: Über Editor-Profile lässt sich für jede Nutzer:innengruppe exakt festlegen, welche Dateitypen und Verzeichnisse erlaubt sind.

Die Sicherheitslücke: CVE-2026-48907

Am 3. Juni 2026 veröffentlichte der Hersteller Widget Factory Limited die Version JCE Pro 2.9.99.5 - und stufte sie sofort als kritisches Sicherheits-Release ein.

Das Problem: Eine unzureichende Zugriffskontrolle erlaubte es nicht angemeldeten Benutzer:innen (unauthentifiziert), Editor-Profile auf den Server hochzuladen. Da ein Editor-Profil steuert, welche Dateitypen hochgeladen werden dürfen, hätte dies für den Upload beliebiger Dateien auf den Server missbraucht werden können.

Warum ist das besonders gravierend? Diese Lücke erforderte keine Anmeldung. Jede Person, die die Website aufruft, hätte sie theoretisch ausnutzen können - unabhängig davon, ob die Website eine Benutzer:innenregistrierung anbietet oder nicht.

Betroffen waren alle Versionen von JCE Free und JCE Pro vor 2.9.99.5.

Die Schwachstelle wurde gemeldet von Uwe Flottemesch (fc-hosting.de) und mit Unterstützung von David Jardin, dem Leiter des Joomla Security Strike Teams, behoben.

Unsere Sofortmaßnahmen

Sobald die Lücke bekannt wurde, haben wir unmittelbar gehandelt:

  1. JCE auf allen Kunden-Websites deaktiviert und TinyMCE als Standard-Editor eingerichtet - keine angreifbare Oberfläche mehr aktiv.
  2. Update-Patch innerhalb von 4 Stunden: Der Hersteller stellte Version 2.9.99.5 in Rekordzeit zur Verfügung.
  3. Automatisches Update auf allen Kunden-Websites über unser Backup- und Verwaltungstool.
  4. Manuelle Prüfung und Reaktivierung - jede Website wird schrittweise überprüft und der JCE dort wieder aktiviert, wo er sinnvoll ist.

Für unsere Kund:innen mit Website-Wartung: Wir haben alles für Sie erledigt. Das Update wurde automatisch eingespielt, und wir überprüfen jede Website manuell.

Nicht überall wird der JCE wieder eingesetzt

Wir nutzen diese Situation für eine kritische Überprüfung: Bei einigen Projekten werden wir den JCE nicht mehr reaktivieren und stattdessen deinstallieren.

Je weniger Erweiterungen installiert sind, desto kleiner ist die Angriffsfläche.

Wenn der JCE auf einer Website nicht aktiv genutzt wird oder der Funktionsumfang von TinyMCE ausreicht, verzichten wir künftig darauf. Jede zusätzliche Erweiterung ist eine potenzielle Schwachstelle.

Was wir daraus lernen - KI verändert die Sicherheitslandschaft

Sicherheitslücken werden heute schneller gefunden als je zuvor - sowohl von Sicherheitsforschenden als auch von Angreifer:innen. KI-gestützte Tools durchsuchen Source Code und Live-Websites automatisch auf bekannte Schwachstellen. Was früher Wochen dauerte, geschieht heute in Stunden.

Das bedeutet für den Betrieb von Joomla-Websites:

  • So wenige Erweiterungen wie möglich installiert halten
  • Joomla und alle Erweiterungen immer auf dem aktuellen Stand halten
  • Sicherheitsupdates so rasch wie möglich einspielen - idealerweise automatisiert
  • Regelmäßige Überprüfung, welche Erweiterungen noch aktiv genutzt werden

Wenn Sie Ihre Website selbst warten: Bitte stellen Sie sicher, dass der JCE auf Version 2.9.99.5 aktualisiert wurde. Das Update ist über den Joomla-Updater verfügbar: System → Update → Erweiterungen.

Quellen:

Bei Fragen stehen wir selbstverständlich gerne zur Verfügung.

Neueste Blog-Beiträge