Veiligheidsupdate JCE Editor

Joomla Content Editor (JCE) is een veelgebruikte editor in Joomla. Op 18 oktober 2023 werd er een update voor JCE edito uitgebracht: versie 2.9.51. Deze update bevat een belangrijke veiligheidsupdate voor alle voorgaande versies van JCE Editor Core en JCE Editor Pro.

Verder verbetert het de ondersteuning voor Joomla 5, verhelpt een probleem met de weergave van Media Fields, verhelpt verschillende problemen met de verwerking van afbeeldingen bij het uploaden en verhelpt een aantal andere bugs en problemen die sinds de laatste update zijn gemeld of ontdekt.

Veiligheidsissue

Een kwaadwillende gebruiker kon direct toegang krijgen tot bepaalde PHP-bestanden in de JCE Editor plugins mappen en die uitvoeren. Een gebruiker zou daarmee bijvoorbeeld toegang kunnen krijgen tot het bestand foo.php in de map components/com_jce/editor/plugins/foo.

Deze kwetsbaarheid maakt het voor gebruikers niet mogelijk om een bestand te uploaden of op een specifieke locatie te plaatsen. Het bestand moet al op de server staan, bijvoorbeeld daar geplaatst door een ander veiligheidsprobleem in een andere extensie of door een kwetsbaarheid van de site/server. 

Deze JCE 2.9.51 update verhelpt het issue van ongeautoriseerde toegang en verbetert de validatie van bestaande bestanden, zodat gecompromitteerde bestanden niet worden geladen.

Wij hebben JCE editor voor al onze klanten met een ondersteuningscontract geupdated naar deze laatste versie.

Joomla 5 ondersteuning

De ondersteuning in JCE voor Joomla 5 is verbeterd, waardoor de Backwards Compatible plugin in Joomla 5 niet meer nodig is voor JCE editor. JCE Pro en JCE Core zijn nu volledig compatibel met Joomla 3, Joomla 4 en Joomla 5!

Bron: JCE Pro 2.9.51 released