De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft een ernstige beveiligingslek in de Widget Factory Joomla Content Editor (JCE) toegevoegd aan haar Known Exploited Vulnerabilities (KEV) catalogus. Het gaat om een kwetsbaarheid met maximale ernst, geregistreerd als CVE-2026-48907, die actieve exploitatie vertoont en het mogelijk maakt om op afstand willekeurige PHP-code uit te voeren.

De kwetsbaarheid betreft een onjuiste toegangscontrole in de JCE-extensie voor Joomla, waardoor kwaadwillenden nieuwe editorprofielen kunnen aanmaken zonder zich te authenticeren. Dit opent de deur voor het uploaden en uitvoeren van kwaadaardige PHP-code. De kwetsbaarheid treft JCE-versies van 1.0.0 tot en met 2.9.99.4 en is verholpen in versie 2.9.99.5, die op 3 juni 2026 is uitgebracht. Volgens de release notes van Widget Factory werd de onvolledige toegangscontrole misbruikt door niet-geauthenticeerde gebruikers om editorprofielen te uploaden, zoals hier beschreven.

Hoewel er nog geen concrete details bekend zijn over de wijze van exploitatie in het wild, heeft CISA federale agentschappen binnen de Federal Civilian Executive Branch (FCEB) opgedragen de patch uiterlijk 19 juni 2026 toe te passen, zoals vermeld in de officiële waarschuwing.

Daarnaast zijn er meerdere campagnes gericht op WordPress-sites ontdekt. Onderzoekers van Sansec rapporteerden een supply chain-aanval die meer dan een miljoen websites trof via de plugins OptinMonster, TrustPulse en PushEngage. Hierbij werd kwaadaardige JavaScript geïnjecteerd dat wacht op een ingelogde beheerder om vervolgens een achterdeur-account en een zelfverbergende backdoor-plugin te installeren. In een andere campagne werden WordPress-sites gecompromitteerd met een valse plugin genaamd "Beloved PBN Entegrasyonu" die bij elke paginaweergave de URL van de site naar een externe API stuurde en kwaadaardige HTML of JavaScript injecteerde in de footer. De aanvallers plaatsten twee PHP-webshells in de database, waarmee zij onbeperkte lees- en schrijfrechten op het volledige serverbestandssysteem kregen zonder authenticatie. Dit stelde hen in staat om bestanden te lezen, schrijven, bewerken, verwijderen, mappen te doorzoeken, permissies te wijzigen, bestanden te hernoemen en nieuwe bestanden te uploaden. Volgens een onderzoeker van Sucuri werd deze campagne uitgevoerd door een Turks sprekende actor en richtte zich op het injecteren van verborgen backlinks voor een Private Blog Network (PBN), vermoedelijk gerelateerd aan de gok- en adult affiliate-markt, wat de zoekmachineposities van de getroffen sites schaadt en kan leiden tot handmatige sancties in Google Search Console, zoals hier beschreven.