12 rue de Blénod, 54700 Maidières +33 6 87 42 95 30 Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. Lun-Ven: 8h/12h 14h/17h

Faille JCE CVE-2026-48907 : la vulnérabilité critique qui menace votre site Joomla

Alerte sécurité Joomla — mise à jour du 17 juin 2026

Une faille notée 10 sur 10 — le maximum absolu sur l'échelle de gravité — touche l'extension JCE, l'un des éditeurs les plus répandus de l'écosystème Joomla. Elle est activement exploitée en ce moment même. Si votre site utilise JCE et n'a pas été mis à jour récemment, il est probablement exposé. Voici, sans jargon inutile, ce que cela signifie concrètement et ce qu'il faut faire.

Ce qu'est la faille, en clair

JCE (Joomla Content Editor) est l'éditeur de texte enrichi que des centaines de milliers de sites Joomla utilisent pour rédiger leurs pages. La vulnérabilité référencée CVE-2026-48907 permet à un attaquant non authentifié — c'est-à-dire sans posséder le moindre identifiant ni mot de passe — de créer de nouveaux profils éditeur, puis d'uploader et exécuter du code PHP directement sur votre serveur.

En langage clair : un inconnu, depuis n'importe où dans le monde, peut prendre le contrôle complet de votre site sans rien connaître de vous. Pas besoin de deviner un mot de passe, pas besoin de vous piéger par e-mail. La porte est simplement ouverte.

Pourquoi c'est classé « Critique 10/10 »

Le score officiel attribué par le projet Joomla est de 10.0 sur l'échelle CVSS 4.0, soit le niveau maximal. Ce score s'explique par un cumul rare de facteurs aggravants : l'attaque se mène à distance par le réseau, sa complexité est faible, elle ne demande aucun privilège ni la moindre interaction de votre part. La catégorie de faiblesse est un défaut de contrôle d'accès (CWE-284).

Ce n'est pas une menace théorique

Trois éléments rendent cette faille particulièrement sérieuse, et c'est ce qui la distingue d'une alerte de routine :

  • Elle est exploitée en conditions réelles. L'agence américaine de cybersécurité (CISA) l'a inscrite à son catalogue des vulnérabilités activement exploitées et impose à ses administrations de la corriger avant le 7 juillet 2026. On ne classe pas une faille à ce niveau d'urgence sur une simple hypothèse.
  • Les attaques sont automatisées. Le pirate ne vous a pas choisi. Des robots scannent le web en permanence à la recherche de sites portant la signature d'une version JCE vulnérable, puis frappent automatiquement. Un petit site vitrine d'artisan est ciblé aussi mécaniquement qu'un grand site d'entreprise.
  • Le terrain est immense. Une étude de sécurité de 2025 a montré que plus de 40 % des sites Joomla font tourner au moins une extension présentant une vulnérabilité connue, et que moins d'un tiers d'entre eux sont corrigés dans le mois suivant la découverte. Autrement dit : un site sur deux est une cible potentielle, et la plupart de leurs propriétaires l'ignorent.

Que risque concrètement votre entreprise ?

Un site compromis par ce type de faille n'est pas qu'un problème technique. C'est un problème commercial, juridique et de réputation :

  • Défacement : votre page d'accueil remplacée par celle du pirate.
  • Redirections frauduleuses : vos visiteurs renvoyés vers des sites de spam, de contrefaçon ou pire.
  • Mise en liste noire par Google : un bandeau rouge « Site dangereux » s'affiche, votre trafic s'effondre, votre référencement chute.
  • Suspension par l'hébergeur : OVH, o2switch et les autres coupent un site infecté pour protéger leur réseau — votre site disparaît du jour au lendemain.
  • Fuite de données : si vous collectez des informations clients, leur exposition engage votre responsabilité au titre du RGPD.

Comment savoir si vous êtes concerné

Trois vérifications rapides :

  1. Utilisez-vous JCE ? Dans l'administration Joomla, allez dans Système → Gérer les extensions et cherchez « JCE ». Si l'éditeur apparaît, vous êtes concerné par la vérification suivante.
  2. Quelle version ? Toute version antérieure à 2.9.99.5 est vulnérable. Le correctif a été publié dans la 2.9.99.5, avec des renforcements complémentaires en 2.9.99.6.
  3. Depuis quand n'avez-vous pas mis à jour ? Si vous ne savez pas répondre à cette question, considérez que vous êtes exposé jusqu'à preuve du contraire.

Le piège à éviter absolument

Beaucoup pensent qu'il suffit de mettre JCE à jour pour être tranquille. C'est faux si votre site a déjà été visité par les robots. Le correctif ferme la porte, mais il ne retire pas ce qui est déjà entré : un fichier PHP malveillant (« webshell »), un compte administrateur caché ou une porte dérobée installée avant la mise à jour resteront actifs. C'est exactement ainsi que des sites se retrouvent re-piratés des mois après avoir « corrigé » la faille.

Que faire maintenant

Si votre site utilise JCE, l'ordre des opérations est important :

  1. Mettez JCE à jour vers la dernière version sans attendre. C'est l'urgence immédiate : on referme la porte.
  2. Faites contrôler votre site. Une fois la porte refermée, il faut vérifier que personne n'est déjà entré : recherche de fichiers PHP suspects, de comptes Super Utilisateur inconnus, de modifications récentes anormales. C'est un travail d'expert, pas une case à cocher.
  3. Mettez en place une surveillance. Cette faille n'est ni la première ni la dernière. JCE, iCagenda, SP Page Builder : les extensions tierces sont régulièrement la voie d'entrée. Sans veille ni mises à jour régulières, le scénario se répétera.

Un problème de fond : les extensions que vous ne savez pas avoir

La faille JCE illustre une difficulté structurelle de Joomla — et c'est là que se joue la vraie sécurité. Beaucoup de sites embarquent des composants, plugins et frameworks installés il y a des années, parfois en dépendance d'un autre module, et que plus personne ne surveille. Quand l'un d'eux devient vulnérable, personne ne vérifie sa mise à jour… parce que personne ne se souvient qu'il est là. C'est précisément ce mécanisme qui a exposé des milliers de sites via JCE, iCagenda et SP Page Builder ces derniers mois.

Sécuriser un site Joomla durablement, ce n'est donc pas installer une extension « bouclier » et l'oublier. C'est connaître l'inventaire exact de ce qui tourne sous le capot, le tenir à jour, et le surveiller. C'est un métier.

Votre site Joomla est exposé ou déjà touché ?

Expert Joomla reconnu, j'interviens partout en France pour diagnostiquer, nettoyer et sécuriser les sites touchés par les failles JCE, iCagenda et SP Page Builder — puis vous tenir durablement à l'abri.

Mon site est peut-être piraté — agir vite Découvrir la prestation sécurité

Questions fréquentes

Comment savoir si mon site Joomla utilise JCE ?

Dans l'administration Joomla, ouvrez Système → Gérer les extensions et recherchez « JCE ». Si l'éditeur Joomla Content Editor apparaît, votre site l'utilise. Vérifiez ensuite le numéro de version : tout ce qui est antérieur à 2.9.99.5 est vulnérable.

La faille est-elle vraiment dangereuse pour un petit site ?

Oui, et c'est un malentendu courant. Les attaques sont automatisées : les robots ne distinguent pas un petit site vitrine d'un grand site marchand. Tout site portant la signature d'une version vulnérable est frappé, quelle que soit sa taille.

Quelle version de JCE corrige la faille ?

La correction intervient à partir de la version 2.9.99.5, renforcée en 2.9.99.6. Installez la dernière version disponible, puis faites vérifier qu'aucune compromission n'a eu lieu avant la mise à jour.

J'ai mis JCE à jour, suis-je tranquille ?

Pas forcément. La mise à jour empêche de nouvelles intrusions mais ne supprime pas ce qui aurait été déposé avant. Si votre site a pu être atteint, un contrôle de sécurité est indispensable pour détecter d'éventuels fichiers malveillants ou comptes cachés.

Sources : Base nationale des vulnérabilités du NIST (NVD), fiche CVE-2026-48907, source projet Joomla! ; catalogue des vulnérabilités activement exploitées de la CISA ; éditeur JCE (joomlacontenteditor.net).

Article rédigé par Serge Billon, expert Joomla — web54.fr. Mis à jour le 17 juin 2026.