JCE Sicherheitslücke: Joomla jetzt updaten (2.9.99.5)
Der JCE Editor (Joomla Content Editor) ist die mit Abstand am häufigsten installierte Editor-Erweiterung für Joomla - und genau das macht die jetzt bekannt gewordene JCE Sicherheitslücke so brisant. Am 3. Juni 2026 wurde mit JCE 2.9.99.5 ein kritisches Sicherheitsupdate veröffentlicht, das eine Lücke schließt, über die nicht eingeloggte Angreifer beliebige Dateien auf den Server hochladen können.
Betroffen sind alle Versionen von JCE Free und JCE Pro vor 2.9.99.5 - und zwar unabhängig davon, ob auf deiner Joomla-Seite überhaupt eine Registrierung möglich ist. Sobald JCE installiert ist, ist die Seite verwundbar. Wer Joomla-Websites betreibt oder betreut, sollte dieses JCE Update nicht auf später verschieben, sondern jetzt einspielen.
Inhalt
Was ist die JCE Sicherheitslücke in 2.9.99.5?
Der Hersteller beschreibt die Schwachstelle so: "Insufficient access controls permitted unauthenticated users to upload editor profiles." Übersetzt heißt das: Unzureichende Zugriffskontrollen erlaubten es nicht eingeloggten Besuchern, Editor-Profile hochzuladen. Laut Release-Ankündigung lässt sich das ausnutzen, um beliebige Dateien auf den Server zu schreiben - ein klassischer JCE arbitrary file upload.
Warum das so gefährlich ist, versteht man erst, wenn man weiß, was ein Editor-Profil in JCE eigentlich steuert.
Was ein JCE Editor-Profil alles regelt
JCE arbeitet mit sogenannten Editor Profiles. Damit legt ein Administrator fest, welcher Benutzergruppe welche Editor-Funktionen zur Verfügung stehen. Ein Profil bestimmt unter anderem:
- welche Toolbar-Buttons sichtbar sind
- welche Dateitypen hochgeladen werden dürfen
- welche Verzeichnisse der Editor durchsuchen und beschreiben darf
- welche erweiterten Funktionen (z. B. Code-Ansicht, Vorlagen) freigeschaltet sind
Ein Editor-Profil ist damit faktisch ein Satz von Datei- und Upload-Berechtigungen. Wer das Profil kontrolliert, kontrolliert, welche Datei-Operationen JCE ausführt. Genau hier setzt die JCE Schwachstelle an: Konnte ein anonymer Angreifer ein eigenes Profil hochladen, ließ sich damit ein Profil definieren, das den gewünschten Upload überhaupt erst erlaubt - und anschließend ausnutzen.
Die technische Ursache: CSRF-Token ist kein Berechtigungsnachweis
Die betroffenen Controller prüften zwar den CSRF-Token, aber nicht, ob der anfragende Benutzer überhaupt berechtigt ist. Das ist der entscheidende Denkfehler: Joomla erstellt auch für anonyme Besucher eine Session mit gültigem Token. Ein gültiger Token belegt also nur, dass die Anfrage aus einer echten Session stammt - nicht, dass dahinter ein berechtigter Benutzer steckt.
Der Fix ("Update authorisation checks across all controllers") ergänzt daher echte Berechtigungsprüfungen per $user->authorise('core.manage', 'com_jce') in den Controllern profiles.php (import, export, copy, delete), editor.php, profile.php und cpanel.php. Zusätzlich werden in editor.php die per $task-Parameter aufrufbaren Methoden auf eine Whitelist (loadlanguages, pack) beschränkt, statt beliebige Methoden zuzulassen.
Bin ich betroffen? Diese JCE-Versionen sind verwundbar
Kurz und unmissverständlich: Betroffen sind alle Versionen von JCE Free UND JCE Pro vor 2.9.99.5. Es spielt keine Rolle, ob deine Joomla-Seite öffentliche Registrierung erlaubt - weil die Lücke ohne Login ausnutzbar ist, ist jede Joomla-Installation mit JCE betroffen.
So prüfst du deine installierte Version:
- Im Joomla-Backend anmelden
- Zu Komponenten - JCE Editor gehen
- Die angezeigte Versionsnummer kontrollieren
Steht dort eine Version kleiner als 2.9.99.5, besteht akuter Handlungsbedarf.
Was kann passieren, wenn ich nicht update?
Im schlimmsten Fall lädt ein Angreifer über die Lücke eine ausführbare Datei (z. B. eine als Bild getarnte PHP-Datei) in ein erreichbares Verzeichnis und erhält damit eine Webshell - also dauerhaften Fernzugriff auf den Server. Aus einer Sicherheitslücke wird dann ein vollständiger Einbruch, der sich nicht mehr durch ein Update beheben lässt, sondern eine komplette Bereinigung erfordert.
JCE hat hier eine unrühmliche Vorgeschichte: Bereits 2011/2012 wurde eine Upload-Lücke in JCE (CVE-2012-2902) über Jahre hinweg massenhaft von automatisierten Bots ausgenutzt. Das Muster ist immer dasselbe - eine bekannte Lücke trifft auf tausende nie aktualisierte Installationen. Warte nicht, bis Scanner auch diese Lücke aufgreifen - du willst nicht die Seite sein, die in sechs Monaten noch ein verwundbares JCE betreibt.
Wichtiger Update-Block: Das ist jetzt konkret zu tun
Aktualisiere JCE auf Version 2.9.99.5 - heute, nicht irgendwann. Das Update ist kostenlos (Free wie Pro) und bringt keine funktionalen Änderungen, die ein Zögern rechtfertigen würden.
So updatest du JCE
- Im Joomla-Backend anmelden
- Zu System - Aktualisieren - Erweiterungen gehen
- Auf Auf Updates prüfen klicken
- Den Eintrag JCE auswählen
- Auf Aktualisieren klicken
Erscheint kein Update, prüfe unter System - Aktualisieren - Update-Server, ob der JCE-Update-Server aktiv ist. Bei JCE Pro muss zusätzlich ein gültiger Subscription-Key unter Komponenten - JCE Editor - Optionen hinterlegt sein, sonst wird der Pro-Update-Kanal nicht erreicht. JCE Free bezieht das Update ohne Key.
Alternativ kannst du das Paket manuell im offiziellen Downloadbereich laden und über Erweiterungen - Verwalten - Installieren einspielen.
JCE Pro-Subscription abgelaufen? So bleibst du trotzdem sicher
Ist deine JCE Pro-Subscription ausgelaufen, liefert der Pro-Update-Kanal die neue Version nicht mehr aus - die Lücke bleibt dann offen. Eine veraltete Pro-Installation einfach stehen zu lassen ist also keine Option. Du hast zwei sichere Wege:
- Downgrade auf JCE Core (Free): Die kostenlose Core-Version ist mit demselben Fix auf 2.9.99.5 gepatcht. Du installierst sie einfach per Erweiterungen - Verwalten - Installieren über die bestehende Pro-Version (Paket von joomlacontenteditor.net oder GitHub). Die Pro-Funktionen entfallen, deine Inhalte bleiben erhalten - und die Seite ist wieder sicher.
- Subscription erneuern: Nach der Verlängerung liefert der Pro-Kanal wieder Updates, und du aktualisierst regulär auf 2.9.99.5 mit allen Pro-Features.
Tipp: Nach dem Update den Editor in einer eingeloggten Session einmal hart neu laden, damit zwischengespeicherte JCE-Assets aktualisiert werden. Unter Komponenten - JCE Editor sollte danach 2.9.99.5 stehen.
Die vorherige JCE Schwachstelle (2.9.99.4 vom 28. Mai 2026)
2.9.99.5 ist bereits das zweite JCE-Sicherheitsupdate innerhalb einer Woche - aber kein Nachbessern eines unvollständigen Fixes. Es handelt sich um eine andere, deutlich kritischere Lücke. Zur Einordnung die vorherige Version:
Mit JCE 2.9.99.4 (28. Mai 2026) wurden zwei Schwachstellen geschlossen, die jeweils einen eingeloggten Joomla-Benutzer voraussetzten (nicht zwingend einen Administrator):
- Zugriff auf ein Editor-Profil, das dem Benutzer gar nicht zugewiesen war, und darüber Dateisystem-Aktionen.
- Directory Traversal in der Dateisystem-Suchfunktion, womit sich Ordnerinhalte außerhalb des konfigurierten Verzeichnisses auflisten ließen.
Auch das betraf JCE Free und JCE Pro. Der entscheidende Unterschied: 2.9.99.4 war nur mit Login ausnutzbar, 2.9.99.5 ist es ohne. Genau das verschiebt die aktuelle Lücke von "diese Woche patchen" zu "jetzt patchen".
JCE und die Joomla-Kompatibilität (3, 4, 5 und 6)
Die gute Nachricht: Der 2.9.99.x-Zweig von JCE Pro ist mit Joomla 3, 4, 5 und 6 kompatibel. Für Joomla 5 und 6 ist kein Backwards-Compatibility-Plugin nötig. Das Update lässt sich also auf praktisch jeder gepflegten Joomla-Installation problemlos einspielen - über den Joomla-Updater oder per manuellem Download.
Woran du eine mögliche Kompromittierung erkennst
Anders als bei den authentifizierten Lücken aus 2.9.99.4 hinterlässt diese Lücke eine Spur, nach der man gezielt suchen kann - denn die schädliche Anfrage braucht keine gültige Anmeldung. Auf höher gefährdeten Seiten lohnt ein rückblickender Check:
Der wichtigste Check direkt nach dem Update: Öffne Komponenten - JCE Editor - Editor-Profile und geh die Liste durch. Die mitgelieferten Standard-Profile heißen Default, Front End, Blogger, Mobile und Markdown - die sind unbedenklich. (Markdown fehlt auf vielen Seiten und taucht eher bei frisch installiertem als bei aktualisiertem JCE auf - auch das ist normal.) Alarm ist angesagt, wenn dort ein Profil mit kryptischem Zufallsnamen (etwa xs94da) steht oder eines, dem die Benutzergruppe Public (Gast/öffentlich) zugewiesen ist - dann musst du die Seite als kompromittiert betrachten. Genau darüber verschafft sich ein Angreifer über diese Lücke Zugriff. Lösche das Profil dann nicht einfach, sondern lass die Seite vollständig prüfen und bereinigen.
- Server-Logs der letzten Wochen auf Anfragen an die JCE-Profil- und Dateisystem-Endpunkte (Upload bzw. Import) prüfen, die ohne Joomla-Session-Cookie kamen
- die Verzeichnisse
images/,media/und eigene Upload-Ordner auf Dateien prüfen, die du nicht selbst angelegt hast - besonders alles mit Skript-Endung oder verdächtigem Zeitstempel - auf unbekannte Admin-Benutzer, manipulierte Template-Dateien und ungewöhnliche Weiterleitungen oder Spam-Seiten im Google-Index achten
Wichtig: Ein erfolgreich eingespieltes Update bedeutet nicht automatisch, dass die Seite auch sauber ist. Wenn es Anzeichen für einen Angriff gibt, muss zusätzlich geprüft und bei Bedarf bereinigt werden.
Du bist unsicher, ob deine Joomla-Website betroffen ist? Wir prüfen das kostenlos für dich. Schau dir auch unsere Soforthilfe bei gehackten Joomla-Seiten an.
FAQ zur JCE Editor Sicherheitslücke in Joomla
Bin ich betroffen?
Wenn auf deiner Joomla-Seite JCE in einer Version vor 2.9.99.5 installiert ist: ja. Weil die Lücke ohne Login ausnutzbar ist, ist jede Joomla-Installation mit JCE betroffen - unabhängig von den Registrierungseinstellungen.
Ist nur JCE Pro betroffen?
Nein. Betroffen sind JCE Free und JCE Pro gleichermaßen. Beide Editionen erhalten denselben Fix in Version 2.9.99.5.
Was kann passieren, wenn ich nicht update?
Im schlimmsten Fall lädt ein Angreifer eine ausführbare Datei hoch und installiert eine Webshell mit dauerhaftem Zugriff. Dann reicht ein Update nicht mehr - die Seite muss vollständig bereinigt werden.
Wie update ich JCE?
Über System - Aktualisieren - Erweiterungen im Joomla-Backend auf Updates prüfen und JCE aktualisieren. Bei JCE Pro muss ein gültiger Subscription-Key hinterlegt sein. Alternativ das Paket manuell im offiziellen Downloadbereich laden und installieren.
Was ist, wenn meine JCE Pro-Subscription abgelaufen ist?
Dann erhältst du über den Pro-Kanal kein Update mehr. Du hast zwei sichere Optionen: Entweder du installierst die kostenlose JCE Core (Free) über deine Pro-Version - sie ist ebenfalls auf 2.9.99.5 gepatcht, du verlierst aber die Pro-Funktionen - oder du erneuerst die Subscription und aktualisierst regulär. Die ungepatchte Pro-Version einfach weiterzubetreiben ist keine Option, weil die Lücke sonst offen bleibt.
Wie prüfe ich, ob meine Seite bereits angegriffen wurde?
Der deutlichste Hinweis steckt in den Editor-Profilen: Öffne Komponenten - JCE Editor - Editor-Profile. Die Standard-Profile Default, Front End, Blogger, Mobile und Markdown sind unbedenklich. Findest du dort dagegen ein Profil mit kryptischem Zufallsnamen (etwa xs94da) oder eines, dem die Benutzergruppe Public zugewiesen ist, gilt die Seite als gehackt. Prüfe zusätzlich die Server-Logs der letzten Wochen auf Upload- und Import-Anfragen ohne Login sowie die Ordner images/, media/ und eigene Upload-Verzeichnisse auf untergeschobene Dateien, besonders mit Skript-Endung. Im Zweifel lass die Seite professionell prüfen, bevor du Profile oder Dateien löschst.
Quellen und weiterführende Informationen
- mySites.guru - Detaillierte Analyse der Schwachstelle (Free + Pro bestätigt)
- Joomla Content Editor - Offizielle Release-Ankündigung
- Joomla Content Editor - Offizieller Changelog
- db8.nl - Zusammenfassung der 2.9.99.4 Schwachstellen
- GitHub (widgetfactory/jce) - Free/Core-Version ebenfalls gepatcht
Gemeldet wurde die Lücke von Uwe Flottemesch (fc-hosting.de), mit Unterstützung von David Jardin (Joomla Security Strike Team).
Lieber direkt auf Nummer sicher gehen?
Zwei Wege, deine Joomla-Seite dauerhaft abzusichern - vom einmaligen Profi-Check bis zur Rundum-sorglos-Betreuung. Du kümmerst dich um dein Geschäft, wir um deine Sicherheit.
Joomla-Sicherheitscheck
In kurzer Zeit Gewissheit: Wir prüfen deine Joomla-Installation auf Lücken, Backdoors und Fehlkonfigurationen - mit klarer Handlungsempfehlung statt Fachchinesisch.
- ✓Tiefen-Check auf Schwachstellen & Schadcode
- ✓Verständliche Einschätzung deines Risikos
- ✓Inklusive grundlegender Absicherung
Security Flatrate
Updates, Überwachung und bevorzugte Soforthilfe im Ernstfall - wir halten deine Seite dauerhaft sauber und aktuell, damit die nächste Lücke dich nicht kalt erwischt.
- ✓Laufende Updates & Monitoring
- ✓Bevorzugte Soforthilfe bei Problemen
- ✓Jederzeit kündbar, kein Risiko
- Details
- Zuletzt aktualisiert: 03. Juni 2026
