Atacantes estão mirando vulnerabilidades no Joomla e no plugin LiteSpeed para cPanel visando execução de código e escalonamento de privilégios.
Vulnerabilidade no JCE do Joomla
Afetando o Joomla Content Editor (JCE, editor de conteúdo do Joomla) e catalogada como CVE-2026-48907, a primeira falha é descrita como um problema de controle de acesso inadequado que permite a atacantes não autenticados fazerem upload de perfis do editor.
Atacantes têm explorado a falha para enviar arquivos arbitrários ao servidor, resultando em execução de código PHP arbitrário.
Todas as versões do JCE Pro anteriores à 2.9.99.5 estão afetadas. O defeito de segurança foi corrigido em 3 de junho, e proteções adicionais foram incluídas na versão 2.9.99.6, lançada em 6 de junho.
Alerta do Joomla
No fim de semana, o Joomla instou os usuários a atualizarem suas implantações para a versão mais recente o mais rápido possível, alertando que a CVE-2026-48907 tem sido explorada ativamente.
"A vulnerabilidade está sendo ativamente explorada, código de exploit funcional está disponível publicamente e os ataques são automatizados, de modo que um site sem registro público também não está seguro", alertou o Joomla.
Também foram fornecidos indicadores de comprometimento (IoCs, Indicators of Compromise) para ajudar os administradores de sites a identificar possíveis invasões.
"A atualização fecha o ponto de entrada, mas não limpa um site que já foi comprometido. Se você foi atacado antes de atualizar, a atualização não removerá o que o invasor deixou para trás", afirmou o Joomla.
Falha no plugin LiteSpeed para cPanel
O plugin do lado do usuário do LiteSpeed para cPanel foi considerado vulnerável à CVE-2026-54420, uma vulnerabilidade de seguimento de link simbólico (symlink) do UNIX.
Devido ao tratamento inadequado de links simbólicos, usuários com acesso via FTP ou web shell poderiam elevar seus privilégios a root nos servidores de hospedagem compartilhada executando CloudLinux/CageFS.
O defeito de segurança impacta todas as versões do plugin do cPanel para o usuário anteriores à 2.4.8, lançada em 1º de junho, e tem sido explorado ativamente desde maio.
Usuários do LiteSpeed são aconselhados a atualizar suas implantações imediatamente e a usar o comando fornecido pelos mantenedores para verificar se seus servidores foram comprometidos.
CISA inclui falhas no catálogo KEV
Nesta semana, a Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA, Cybersecurity and Infrastructure Security Agency) adicionou as falhas do LiteSpeed e do Joomla ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV, Known Exploited Vulnerabilities), instando agências federais a corrigi-las até 18 de junho e 19 de junho, respectivamente.
Conforme a Diretiva Operacional Vinculante 26-04 (BOD 26-04, Binding Operational Directive 26-04) da CISA, falhas de segurança que exigem correção imediata representam os maiores riscos para agências federais, pois podem ser abusadas em ataques automatizados que podem levar ao sequestro de ativos.
