HTProtect.org Unabhängige Informationsseite zu Joomla-Sicherheitslücken
HTProtect HTProtect JOOMLA SECURITY
htprotect.org Sicherheitslücken & Update-Anleitungen
Sicherheitslücke

JCE (JoomlaContentEditor) – kritischer Datei-Upload, aktiv ausgenutzt

Kritisch Wird aktiv ausgenutztCVE: Keine spezifische CVE genannt
Jetzt handeln
JCE sofort auf 2.9.99.5 (besser 2.9.99.6) aktualisieren – die Lücke wird aktiv ausgenutzt.
Sichere Version herunterladen Zu den Update-Schritten

Sichere Version: JCE 2.9.99.5 – besser 2.9.99.6 · JCE Core kostenlos · Pro mit Konto

Auf einen Blick

Betroffene Erweiterung
JCE Editor – Free & Pro, Komponente com_jce
Hersteller
JoomlaContentEditor
Art der Lücke
Unzureichende Zugriffskontrolle → unauthentifizierter Upload beliebiger Dateien (über Editor-Profile)
Betroffene Versionen
Alle Versionen vor 2.9.99.5 (Free und Pro)
Sichere Version
JCE 2.9.99.5 – besser 2.9.99.6   Download
Schweregrad
Kritisch · wird aktiv ausgenutzt
CVE
Keine spezifische CVE genannt
Joomla-Kompatibilität
Joomla 3 / 4 / 5 / 6
Stand / Veröffentlichung
Fix: 3. Juni 2026 · Nachtrag 2.9.99.6: 8. Juni 2026

Worum geht es?

JCE (JoomlaContentEditor) ist einer der am weitesten verbreiteten Editoren für Joomla. Der Hersteller beschreibt die Ursache als unzureichende Zugriffskontrolle: Nicht angemeldete Nutzer konnten Editor-Profile hochladen und darüber beliebige Dateien auf den Server bringen.

Betroffen sind alle Versionen vor 2.9.99.5 – sowohl JCE Free als auch JCE Pro – und zwar unabhängig davon, ob die öffentliche Registrierung aktiviert ist. Der Fix erschien am 3. Juni 2026 als 2.9.99.5; nach einem vollständigen Sicherheits-Audit folgte am 8. Juni 2026 die Version 2.9.99.6.

Die Lücke wird aktiv ausgenutzt: Angreifer installieren darüber Webshells. Da kein Login erforderlich ist, sind auch Seiten ohne offene Registrierung gefährdet. Verdächtig sind insbesondere Editor-Profile mit zufälligen Namen oder einer Zuordnung zu „Public“. (Historisch war JCE bereits 2011/2012 Ziel großflächiger Angriffe – CVE-2012-2902.)

Bin ich betroffen? – So prüfen Sie es

  1. Backend öffnen

    Melden Sie sich im Joomla-Administrator an.

  2. JCE-Version prüfen

    Öffnen Sie KomponentenJCE Editor. Die Versionsnummer wird dort angezeigt.

  3. Version bewerten

    Liegt die Version unter 2.9.99.5, besteht akuter Handlungsbedarf.

  4. Editor-Profile kontrollieren

    Prüfen Sie die JCE-Editor-Profile auf unbekannte Einträge mit Zufallsnamen oder Public-Zuordnung.

So schließen Sie die Lücke

Vor jedem Update: Backup
Sichern Sie Dateien und Datenbank, bevor Sie aktualisieren – so kommen Sie im Notfall zurück (z. B. über Akeeba Backup oder Ihren Hoster).
  1. Update-Center öffnen

    Gehen Sie zu SystemAktualisierenErweiterungen und klicken Sie auf Auf Updates prüfen.

  2. JCE aktualisieren

    Wählen Sie den JCE-Eintrag und klicken Sie auf Aktualisieren (Zielversion 2.9.99.5 / 2.9.99.6).

  3. Version prüfen

    Kontrollieren Sie unter KomponentenJCE Editor, dass die neue Version aktiv ist.

Manuelle Installation (Alternative)
Alternativ laden Sie das Paket von joomlacontenteditor.net und installieren es über ErweiterungenVerwaltenInstallieren. Abgelaufene JCE-Pro-Subscription? Sie können entweder kostenlos auf JCE Core (Free) wechseln oder die Subscription erneuern – wichtig ist nur, mindestens 2.9.99.5 zu erreichen.
Sichere Version herunterladen

Offizielle Bezugsquelle: JCE Core kostenlos · Pro mit Konto. Achten Sie auf mindestens JCE 2.9.99.5 – besser 2.9.99.6.

Wurde die Seite schon angegriffen?

Wird aktiv ausgenutzt – Seite prüfen
Da die Lücke bereits für Webshells missbraucht wird, sollten Sie nach dem Update gezielt nach untergeschobenen Dateien und verdächtigen Editor-Profilen suchen. Ein Update schließt die Lücke, beseitigt aber keine bereits abgelegten Hintertüren – im Zweifel fachgerecht bereinigen lassen und Passwörter ändern.

Quellen & weiterführende Links

Maßgeblich sind stets die offiziellen Angaben des jeweiligen Herstellers. Diese Seite fasst öffentlich verfügbare Informationen neutral zusammen.

Zur Übersicht aller Lücken
Unterstützer

Unterstützer dieser Seite

htprotect.org ist ein kostenloses, herstellerunabhängiges Informationsangebot. Unterstützt wird es von:

Hoster & Community
FC-Hosting

Joomla-Hoster aus Deutschland mit aktivem Community-Support – entdeckte den ersten Angriff auf die JCE-Sicherheitslücke.

fc-hosting.de
Initiator & Betreiber
Website-Bereinigung.de

Spezialisiert auf Bereinigung, Wartung und Absicherung von Joomla- und WordPress-Websites.

website-bereinigung.de

Dieses Projekt unterstützen

Du betreibst einen Hosting- oder Joomla-Dienst und möchtest htprotect.org fördern – und hier als Unterstützer sichtbar werden? Jede Unterstützung hilft, Betroffene schneller zu warnen und schneller zu schützen.

HTProtect jetzt unterstützen