Notícias
ALERTA 56/2026
Vulnerabilidade crítica com exploração ativa no Joomla JCE
Publicado em
10/07/2026 12h28
[TLP:CLEAR]
1. Foi publicado um alerta técnico com atualizações de segurança referente à exploração ativa da vulnerabilidade CVE-2026-48907 que afeta o componente Joomla Content Editor (JCE). Observou-se que foram identificados novos indicadores de compromisso (IOCs) associados a essa campanha maliciosa durante atividades de resposta a incidentes e análise forense em sítios web institucionais comprometidos. Os artefatos identificados apresentam alta correlação com táticas como implantação de webshells, acesso remoto não autorizado e atividades de persistência pós-exploração. A falha é descrita na Common Vulnerabilities and Exposures (CVE):
https://nvd.nist.gov/vuln/detail/CVE-2026-48907
1. Foi publicado um alerta técnico com atualizações de segurança referente à exploração ativa da vulnerabilidade CVE-2026-48907 que afeta o componente Joomla Content Editor (JCE). Observou-se que foram identificados novos indicadores de compromisso (IOCs) associados a essa campanha maliciosa durante atividades de resposta a incidentes e análise forense em sítios web institucionais comprometidos. Os artefatos identificados apresentam alta correlação com táticas como implantação de webshells, acesso remoto não autorizado e atividades de persistência pós-exploração. A falha é descrita na Common Vulnerabilities and Exposures (CVE):
https://nvd.nist.gov/vuln/detail/CVE-2026-48907
https://www.cve.org/CVERecord?id=CVE-2026-48907
2. Conforme informações extraídas do documento técnico, as versões vulneráveis do produto incluem:
- Produto: Joomla Content Editor (JCE). Versões afetadas: Versões desatualizadas ou sem as correções mais recentes do desenvolvedor.
2. Conforme informações extraídas do documento técnico, as versões vulneráveis do produto incluem:
- Produto: Joomla Content Editor (JCE). Versões afetadas: Versões desatualizadas ou sem as correções mais recentes do desenvolvedor.
3. O CTIR Gov recomenda que as instituições identifiquem se utilizam versões vulneráveis e apliquem imediatamente as correções fornecidas pelo desenvolvedor para manter o Joomla e o componente JCE atualizados
Adicionalmente, com base nas recomendações técnicas emitidas pelo CSIRT-CR devido à identificação dos novos Indicadores de Compromisso (IOCs), orienta-se as instituições a:
- Incorporar imediatamente os novos indicadores em ferramentas EDR, SIEM, IDS/IPS, WAF e plataformas de monitoramento.
- Realizar buscas retrospectivas (retrohunting) dos hashes e nomes de arquivos indicados em registros, plataformas EDR, SIEM, servidores web e sistemas de monitoramento.
- Verificar a existência de arquivos PHP não autorizados dentro de diretórios de carga (upload), cache, imagens e rotas temporárias.
- Revisar os registros de acesso web para identificar conexões históricas a partir das direções e endereços associados.
- Continuar aplicando as medidas de mitigação e remediação estabelecidas nos alertas anteriores da mesma campanha (MICITT-DC-CSIRT-SOC-AT-000799-2026 e MICITT-DC-CSIRT-SOC-AT-000804-2026).
Abaixo estão listados os novos arquivos maliciosos e hashes identificados (IOCs) associados ao incidente:
- Arquivo malicioso:
fixv2-OTH.php| MD5:073d65852c1f092440f5b34844904e85 - Arquivo malicioso:
phpinfo.ph-OTH.php| MD5:936623bb211bb827808d2ace64f79f02 - Arquivo malicioso:
70-29-151-1-2-20210123.phtml| MD5:3e0615853479d19c298e86fa84ac9844 - Arquivo malicioso:
/c (shell ASPVBScript/)| MD5:41ca52ea7804e15c092a0898bc177ff5 - Arquivo malicioso:
64e31df14e1c6.aSp| MD5:155366b86bc4860e7133b476165ae765 - Arquivo malicioso:
662ef7096671b.asp| MD5:155366b86bc4860e7133b476165ae765 - Arquivo malicioso:
diy3.php| MD5:9f8b5d7885a3c4211c516f602e8d2a45 - Arquivo malicioso:
py.alfa| MD5:c5dcb1cdc47f271f42448a5298147924 - Arquivo malicioso:
.htaccess| MD5:4163b94078aa887f431a0b5e6d95acd0 - Arquivo malicioso:
665b7ece9ecaa.txt| MD5:936623bb211bb827808d2ace64f79f02 - Arquivo malicioso:
665b7ed688218.phtml| MD5:936623bb211bb827808d2ace64f79f02 - Arquivo malicioso:
665b7f00b3957.txt| MD5:936623bb211bb827808d2ace64f79f02 - Arquivo malicioso:
665b7f120dfe1.phar| MD5:936623bb211bb827808d2ace64f79f02 - Arquivo malicioso:
665b7f252e85d.shtml| MD5:936623bb211bb827808d2ace64f79f02 - Arquivo malicioso:
665b7f3a8bb33.shtml| MD5:92f1167d667d1d7314e287df3d70bc3e
Esta vulnerabilidade pode afetar componentes, bibliotecas ou implementações utilizados por diferentes produtos. Para mais informações, consulte as referências abaixo:
https://nvd.nist.gov/vuln/detail/CVE-2026-48907https://www.cve.org/CVERecord?id=CVE-2026-48907
4. Resumo sobre criticidade:
- Listada no catálogo CISA KEV: Não especificado no documento de origem
- CVSS Base Score: N/A
- EPSS: N/A
- Percentile EPSS: N/A
a) O que é o Cybersecurity and Infrastructure Security Agency Know Exploited Vulnerabilities Catalog (CISA KEV)?
Catálogo de vulnerabilidade mantida pela agência CISA. Os requisitos para uma vulnerabilidade ser listada no catálogo são: (1) A vulnerabilidade possui um ID CVE (Common Vulnerabilities and Exposures) atribuído; (2) Há evidências confiáveis de que a vulnerabilidade foi ativamente explorada em ambientes reais; (3) Existe uma ação de correção clara para a vulnerabilidade, como uma atualização fornecida pelo fabricante. Fonte: https://www.cisa.gov/known-exploited-vulnerabilities
b) O que é Common Vulnerability Scoring System (CVSS)?
Metodologia aberta para comunicar as características e a gravidade de vulnerabilidades em softwares. É composto por três grupos de métricas: Base, Temporal e Ambiental. Quanto mais próximo do 10 maior a criticidade da vulnerabilidade. Fonte: https://www.first.org/cvss/v3-1/specification-document
c) O que é o Exploit Prediction Scoring System (EPSS)?
Estimativa diária global da probabilidade de que uma atividade de exploração seja observada nos próximos 30 dias. Fonte: https://www.first.org/epss/model
6. O CTIR Gov ressalta que, de acordo com o artigo 12, inciso IX, do Decreto Nº 10.748, de 16 de julho de 2021, os órgãos pertencentes à REGIC devem "sanar, com urgência, as vulnerabilidades cibernéticas, em especial aquelas identificadas nos alertas e nas recomendações", conforme publicado em: https://www.planalto.gov.br/ccivil_03/_ato2019-2022/2021/decreto/d10748.htm
7. Informações sobre a Rede Federal de Gestão de Incidentes Cibernéticos (REGIC): https://www.gov.br/ctir/regic
8. Informações sobre o Traffic Light Protocol (TLP), conforme definido pelo Forum of Incident Response and Security Teams (FIRST): https://www.gov.br/ctir/tlp
Equipe CTIR Gov.
[TLP:CLEAR]
4. Resumo sobre criticidade:
- Listada no catálogo CISA KEV: Não especificado no documento de origem
- CVSS Base Score: N/A
- EPSS: N/A
- Percentile EPSS: N/A
a) O que é o Cybersecurity and Infrastructure Security Agency Know Exploited Vulnerabilities Catalog (CISA KEV)?
Catálogo de vulnerabilidade mantida pela agência CISA. Os requisitos para uma vulnerabilidade ser listada no catálogo são: (1) A vulnerabilidade possui um ID CVE (Common Vulnerabilities and Exposures) atribuído; (2) Há evidências confiáveis de que a vulnerabilidade foi ativamente explorada em ambientes reais; (3) Existe uma ação de correção clara para a vulnerabilidade, como uma atualização fornecida pelo fabricante. Fonte: https://www.cisa.gov/known-exploited-vulnerabilities
b) O que é Common Vulnerability Scoring System (CVSS)?
Metodologia aberta para comunicar as características e a gravidade de vulnerabilidades em softwares. É composto por três grupos de métricas: Base, Temporal e Ambiental. Quanto mais próximo do 10 maior a criticidade da vulnerabilidade. Fonte: https://www.first.org/cvss/v3-1/specification-document
c) O que é o Exploit Prediction Scoring System (EPSS)?
Estimativa diária global da probabilidade de que uma atividade de exploração seja observada nos próximos 30 dias. Fonte: https://www.first.org/epss/model
6. O CTIR Gov ressalta que, de acordo com o artigo 12, inciso IX, do Decreto Nº 10.748, de 16 de julho de 2021, os órgãos pertencentes à REGIC devem "sanar, com urgência, as vulnerabilidades cibernéticas, em especial aquelas identificadas nos alertas e nas recomendações", conforme publicado em: https://www.planalto.gov.br/ccivil_03/_ato2019-2022/2021/decreto/d10748.htm
7. Informações sobre a Rede Federal de Gestão de Incidentes Cibernéticos (REGIC): https://www.gov.br/ctir/regic
8. Informações sobre o Traffic Light Protocol (TLP), conforme definido pelo Forum of Incident Response and Security Teams (FIRST): https://www.gov.br/ctir/tlp
Equipe CTIR Gov.
[TLP:CLEAR]