Il 16 giugno l’agenzia di cybersicurezza statunitense CISA ha inserito nel suo catalogo delle falle “note e attivamente sfruttate” una vulnerabilità che riguarda da vicino chi ha un sito costruito con Joomla, uno dei sistemi di gestione dei contenuti (CMS) più diffusi al mondo dopo WordPress. Il punteggio di gravità è il massimo possibile: 10.0. E, soprattutto, non è una minaccia teorica: gli attacchi sono già in corso.
Dove sta il problema: non Joomla, ma una sua estensione
La falla, identificata come CVE-2026-48907, non è nel cuore di Joomla ma in JCE (Joomla Content Editor), un’estensione di terze parti tra le più popolari: è l’editor visuale che permette di scrivere e formattare i contenuti del sito senza toccare codice. Proprio perché è così comodo, è installato su un numero enorme di siti.
Il difetto è un controllo degli accessi mal gestito (improper access control): in pratica un visitatore qualsiasi, senza bisogno di password né di un account valido, può ottenere permessi da redattore, caricare un file ed eseguire codice sul server. Il risultato tipico è l’installazione di una web shell, cioè una porta di servizio nascosta che lascia all’attaccante il controllo del sito anche dopo, in modo persistente.
CVE-2026-48907 nell'estensione JCE di Joomla: punteggio massimo perché sfruttabile da remoto, senza autenticazione e con pieno controllo del sito come conseguenza. Corretta nella versione JCE 2.9.99.5.
Fonte: CISA, NIST NVD, The Hacker News — giugno 2026
Perché è il bersaglio perfetto per una piccola impresa
Il sito vetrina di molte piccole imprese ha una storia ricorrente: è stato realizzato qualche anno fa da un’agenzia o da un consulente esterno, è andato online, e da allora nessuno lo ha più aggiornato. Le estensioni installate restano ferme alla versione di allora.
È esattamente questo lo scenario che una falla del genere sfrutta. Non serve un dipendente che clicca su un’email sbagliata: basta che il sito sia raggiungibile da internet (cioè sempre) e che l’estensione JCE sia rimasta a una versione vecchia. Le conseguenze concrete vanno dal defacement (il sito modificato o sostituito) all’uso del server per diffondere malware ai visitatori, fino al furto dei dati raccolti dai form di contatto.
La correzione è disponibile nella versione JCE 2.9.99.5: risultano affette le versioni dalla 1.0.0 alla 2.9.99.4. Il rischio non è la falla in sé, ma il sito lasciato indietro con gli aggiornamenti.
Cosa fare, in concreto
Non serve essere tecnici. Se hai un sito in Joomla, le mosse minime sono tre.
- Verifica la versione di JCE. Nel pannello di amministrazione di Joomla, alla voce delle estensioni, controlla se è installato Joomla Content Editor (JCE) e quale versione. Se è una qualsiasi versione precedente alla 2.9.99.5, è da aggiornare subito.
- Aggiorna, o fai aggiornare chi gestisce il sito. Se non te ne occupi tu, scrivi oggi all’agenzia o al tecnico che cura il sito chiedendo esplicitamente di aggiornare JCE e di controllare che non siano già stati caricati file sospetti.
- Non fermarti a JCE. Lo stesso ragionamento vale per tutte le estensioni e per Joomla stesso: un CMS aggiornato è la difesa di base. Le falle di questo tipo escono di continuo; la differenza la fa l’abitudine ad aggiornare con regolarità.
In breve
CISA ha segnalato il 16 giugno una falla di gravità massima (CVSS 10.0, CVE-2026-48907) nell’estensione JCE di Joomla, già sfruttata per installare backdoor sui siti. La correzione esiste dal 3 giugno (versione 2.9.99.5) e copre le versioni dalla 1.0.0 alla 2.9.99.4. Se hai un sito Joomla, l’unica cosa che ti separa dal rischio è una verifica di pochi minuti sulla versione installata. Aggiornare ora è la priorità.