JCE-Sicherheitslücke in Joomla: Warum Sie jetzt updaten sollten

Gründer und Digitalisierungs-Experte

Aktualisiert: Juni 29, 2026

Lesezeit ca.: 12 Minuten

Wenn Sie eine Joomla-Website betreiben und den beliebten Editor JoomlaContentEditor (kurz JCE) nutzen, betrifft Sie dieser Beitrag direkt. In den vergangenen Wochen wird eine Sicherheitslücke in genau dieser Erweiterung aktiv und automatisiert ausgenutzt. Wir haben das nicht nur in den Sicherheitsmeldungen gelesen, sondern bei einem Kundenprojekt im Juni 2026 live gesehen und gestoppt.

Alle JCE-Versionen unter 2.9.99.5 haben eine kritische Schwachstelle, über die Fremde ohne Login Dateien auf Ihren Server hochladen können. Wer noch nicht aktualisiert hat, sollte das heute tun. Wie Sie prüfen, ob Sie betroffen sind, und wie Sie sicher updaten, lesen Sie hier.

Auf einen BlickDie Editor-Erweiterung JCE hatte eine Lücke, über die Unbekannte ohne Anmeldung Dateien hochladen konnten. Betroffen sind alle Versionen unter 2.9.99.5, in der kostenlosen wie in der Pro-Variante, unter Joomla 3, 4, 5 und 6. Die Lücke wird automatisiert und massenhaft ausgenutzt. Die Lösung ist einfach: Aktualisieren Sie JCE auf die aktuell empfohlene Version 2.9.99.6.

Worum geht es?

JCE steht für JoomlaContentEditor. Das ist eine sehr weit verbreitete Erweiterung, mit der Sie in Joomla Texte und Bilder bequem bearbeiten, ähnlich wie in einem Textprogramm. Technisch heißt diese Komponente com_jce. Weil sie auf so vielen Joomla-Seiten installiert ist, ist sie für Angreifer ein lohnendes Ziel.

Die Schwachstelle steckte in den sogenannten Editor-Profilen. Ein Editor-Profil legt fest, wer im Editor was darf, zum Beispiel Bilder hochladen. Durch einen Fehler in dieser Funktion konnte ein nicht angemeldeter Besucher Dateien auf den Server hochladen. „Nicht angemeldet“ heißt: Der Angreifer brauchte weder ein Benutzerkonto noch ein Passwort. Fachleute nennen das einen unauthentifizierten Datei-Upload.^[1]

Das Gefährliche daran: Wer Dateien auf einen Server hochladen kann, kann dort auch Schadcode ablegen und ausführen. Damit lässt sich eine Website fernsteuern. Wir gehen weiter unten nur auf hoher Ebene darauf ein, was dann passiert. Eine Anleitung zum Ausnutzen der Lücke finden Sie hier bewusst nicht.

Bin ich betroffen?

Die Frage lässt sich klar beantworten. Betroffen sind alle JCE-Installationen mit einer Version unter 2.9.99.5. Das gilt sowohl für die kostenlose Free-Variante als auch für die kostenpflichtige Pro-Variante. Und es gilt über alle aktuellen Joomla-Generationen hinweg: Joomla 3, 4, 5 und 6.^[1]

Alles unter 2.9.99.5 ist angreifbar. Ab Version 2.9.99.6 ist die Lücke geschlossen.

So prüfen Sie Ihre Version

Sie finden die installierte Version im Joomla-Backend. Melden Sie sich in der Administration an und öffnen Sie den Bereich für Erweiterungen. Suchen Sie dort den Eintrag „JCE“ oder „JoomlaContentEditor“. Daneben steht die Versionsnummer. Ist sie kleiner als 2.9.99.5, müssen Sie handeln.

Gut zu wissenDie Korrektur kam zuerst in Version 2.9.99.5. Kurz darauf folgte 2.9.99.6, die wir als aktuell empfohlene Version installieren. Eine ältere Version 2.9.99.4 vom 28.05. reicht nicht aus, sie liegt noch unterhalb der sicheren Schwelle.

Was im Ernstfall passiert

Eine offene Upload-Lücke ist deshalb so kritisch, weil Angreifer darüber dauerhaft Fuß fassen können. Typischerweise passiert eines oder mehreres davon:

Hintertür (Backdoor): ein verstecktes Programm, das dem Angreifer auch später noch heimlichen Zugriff gibt.
Webshell: eine getarnte Datei, über die Befehle auf dem Server ausgeführt werden, oft als harmlose Datei maskiert.
Krypto-Miner: ein Programm, das Ihre Server-Leistung heimlich zum Schürfen von Kryptowährung missbraucht. Ihre Seite wird dadurch spürbar langsam.
Spam-Versand: Ihr Server verschickt unbemerkt Massen-E-Mails, was Ihrem Ruf und Ihrer Zustellbarkeit schadet.
Blacklisting: Suchmaschinen und Browser stufen Ihre Seite als gefährlich ein und warnen Besucher. Das kostet Sichtbarkeit und Vertrauen.

In einem Kundenprojekt im Juni 2026 haben wir genau das gesehen. Eine Joomla-5-Website auf einem Shared-Hosting-Paket war über eine veraltete JCE-Erweiterung kompromittiert worden. Die Angreifer hatten eine getarnte Webshell hochgeladen und gleich mehrere Mechanismen eingerichtet, damit sie immer wieder Zugriff bekamen. Es gab einen getarnten Prozess, der wie ein harmloser System-Prozess aussah, eine Technik namens gsocket, die eine Fernverbindung durch die Firewall hindurch aufbaut, sowie automatische Aufgaben (Cronjobs). Ein Hilfsprogramm legte etwa alle 10 Minuten neue Schaddateien an. Sogar die Zeitstempel der Dateien waren gefälscht, um die Spuren zu verwischen. Der Befall hatte mehrere Websites im selben Hosting-Account erreicht.

WichtigDiese Lücke wird automatisiert und in großer Zahl ausgenutzt. Es geht nicht um einen gezielten Angriff auf Ihre Marke. Programme durchsuchen das gesamte Netz nach verwundbaren Seiten und schlagen automatisch zu. Genau deshalb zählt jeder Tag, an dem Sie noch nicht aktualisiert haben.

Wird eine Lücke öffentlich, vergehen oft nur Stunden, bis automatisierte Programme tausende Seiten gleichzeitig angreifen.

Unsicher, ob Ihre Seite sauber ist?

Wir prüfen Ihre Joomla-Seite zügig auf die JCE-Lücke und auf Spuren eines Befalls. Über unsere Soforthilfe melden Sie sich, wenn es schnell gehen muss.

Sicherheits-Check anfragen

Jetzt updaten: Schritt für Schritt

Das Update ist in den allermeisten Fällen unkompliziert und in wenigen Minuten erledigt. Ziel ist die aktuell empfohlene Version 2.9.99.6. Gehen Sie wie folgt vor:

1Backup anlegen. Sichern Sie vorher Dateien und Datenbank. So können Sie im seltenen Fehlerfall jederzeit zurück. Bei laufender Betreuung übernehmen wir das automatisch.

2Im Backend anmelden. Loggen Sie sich in die Joomla-Administration ein und öffnen Sie den Bereich für Aktualisierungen der Erweiterungen.

3JCE aktualisieren. Suchen Sie den Eintrag „JCE“ oder „JoomlaContentEditor“ und starten Sie die Aktualisierung auf Version 2.9.99.6. Findet Joomla das Update nicht sofort, klicken Sie zuerst auf „Suchen nach Updates“.

4Pro-Variante prüfen. Nutzen Sie JCE Pro, brauchen Sie einen gültigen Subscription-Key, damit das Update geladen wird. Diesen Schlüssel hinterlegen Sie in den JCE-Einstellungen. Läuft Ihre Subscription ab, verlängern Sie sie kurz, dann steht das Update bereit.

5Free-Variante. Bei der kostenlosen Version brauchen Sie keinen Schlüssel. Das Update läuft direkt über den Aktualisierungs-Bereich. Steht es nicht in der Liste, laden Sie die aktuelle Free-Version von der offiziellen JCE-Seite und installieren Sie sie über „Erweiterung installieren“.

6Version kontrollieren. Prüfen Sie nach dem Update, dass nun 2.9.99.6 angezeigt wird. Ein kurzer Test im Editor zeigt, dass alles wie gewohnt funktioniert.

EmpfehlungAktualisieren Sie bei der Gelegenheit gleich den Joomla-Kern und alle weiteren Erweiterungen. Veraltete Komponenten sind die häufigste Eintrittstür. Warum das so ist, lesen Sie in unserem Beitrag veraltete Joomla-Erweiterungen als Sicherheitsrisiko.

Wenn Sie nicht sofort updaten können

Manchmal lässt sich ein Update nicht in der nächsten Minute durchführen, etwa weil eine Abstimmung mit der IT nötig ist oder eine besondere Konfiguration vorliegt. In diesem Fall sollten Sie das Risiko vorübergehend verkleinern. Wichtig: Diese Maßnahmen sind nur eine Notbremse, kein Ersatz für das Update.

1Zugriff einschränken. Lassen Sie den Zugang zur Administration und zu sensiblen Funktionen nur von vertrauenswürdigen Adressen zu. Ihr Hoster oder Betreuer kann das auf Server-Ebene einrichten.

2Editor-Profile prüfen. Stellen Sie sicher, dass nur angemeldete Redakteure Bilder und Dateien hochladen dürfen, nicht aber unangemeldete Besucher. Entfernen Sie Profile, die Sie nicht selbst angelegt haben.

3Schutz davorschalten. Eine Web Application Firewall, also ein Filter vor Ihrer Seite, kann bekannte Angriffsmuster blockieren. Viele Hoster bieten das an. Auch das ersetzt das Update nicht, verschafft aber etwas Luft.

AchtungWir nennen hier bewusst keine technischen Details der Lücke und keine Beispielangriffe. Verlassen Sie sich nicht dauerhaft auf Zwischenlösungen. Solange JCE unter 2.9.99.5 läuft, bleibt die Tür einen Spalt offen. Das Update ist die einzige echte Lösung.

Schon zu spät? Fünf Anzeichen einer Kompromittierung

Falls Ihre Seite schon länger nicht aktualisiert wurde, lohnt ein prüfender Blick. Diese fünf Anzeichen deuten auf einen möglichen Befall hin:

1Unbekannte Editor-Profile oder Benutzer. In den JCE-Profilen oder in der Benutzerliste tauchen Einträge auf, die Sie nicht angelegt haben.

2Neue, fremde Dateien. Im Webspace liegen Dateien mit kryptischen Namen oder an ungewöhnlichen Stellen, oft mit gefälschten Zeitstempeln.

3Fremde Cronjobs. Im Hosting-Panel laufen zeitgesteuerte Aufgaben, die Sie nicht eingerichtet haben. Sie sorgen oft dafür, dass Schaddateien immer wiederkommen.

4Langsame Seite, hohe Last. Ihre Website wird plötzlich träge, oder der Hoster meldet ungewöhnlich hohe Auslastung. Oft steckt ein Krypto-Miner dahinter.

5Warnungen von außen. Ihr Hoster meldet „Schadsoftware gefunden“, oder Browser und Suchmaschinen zeigen eine Sicherheitswarnung für Ihre Domain.

Sehen Sie eines dieser Anzeichen, reicht ein einfaches Löschen der Schaddateien nicht. In unserem Kundenprojekt scheiterte genau das: Wurden nur die sichtbaren Dateien entfernt, war die Seite binnen Stunden wieder infiziert, weil die Hintertür und das Einfallstor blieben. Wie eine Bereinigung in der richtigen Reihenfolge gelingt, beschreiben wir im Beitrag Joomla-Website gehackt: so bereinigen Sie richtig. Einen kompletten Leitfaden vom Erkennen bis zum Schützen finden Sie unter Joomla gehackt: erkennen, bereinigen, schützen.

Ihre nächsten Schritte

Prüfen Sie jetzt Ihre JCE-Version und aktualisieren Sie auf 2.9.99.6. Sind Sie unsicher, ob Sie betroffen sind, oder vermuten Sie bereits einen Befall, sollten Sie nicht zögern. Wir übernehmen den Sicherheits-Check und im Ernstfall die Bereinigung. Damit solche Lücken künftig gar nicht erst gefährlich werden, halten wir Ihre Seite mit unserer laufenden Website-Betreuung aktuell.

Update prüfen oder Befall ausschließen lassen

Sie wissen nicht sicher, ob Ihre Joomla-Seite betroffen oder bereits kompromittiert ist? Über unsere Soforthilfe melden wir uns schnell, prüfen die JCE-Lücke und bereinigen im Notfall sauber. Laufende Updates übernehmen wir auf Wunsch dauerhaft.

Jetzt Soforthilfe anfragen

Häufige Fragen

Welche JCE-Version ist sicher?

Sicher gegen diese Lücke sind Version 2.9.99.5 und höher. Wir empfehlen, gleich auf die aktuell empfohlene Version 2.9.99.6 zu aktualisieren. Alles unter 2.9.99.5 ist angreifbar, auch die Version 2.9.99.4.

Bin ich auch mit der kostenlosen JCE-Version betroffen?

Ja. Die Lücke betrifft sowohl die kostenlose Free-Variante als auch die kostenpflichtige Pro-Variante. Entscheidend ist allein die Versionsnummer. Liegt sie unter 2.9.99.5, müssen Sie aktualisieren.

Welche Joomla-Versionen sind betroffen?

Die Lücke besteht unabhängig von Ihrer Joomla-Generation. Betroffen sind Joomla 3, 4, 5 und 6, solange die installierte JCE-Erweiterung älter als 2.9.99.5 ist.

Reicht es, nur JCE zu aktualisieren?

Das Update von JCE schließt diese konkrete Lücke. Trotzdem empfehlen wir, bei der Gelegenheit den Joomla-Kern und alle Erweiterungen zu aktualisieren. Veraltete Komponenten sind die häufigste Eintrittstür für Angriffe.

Was mache ich, wenn meine Seite bereits gehackt wurde?

Löschen Sie nicht nur die sichtbaren Schaddateien. Sonst kommt der Befall meist binnen Stunden zurück. Nötig ist die richtige Reihenfolge: zuerst die dauerhaften Mechanismen entfernen, dann Prozesse beenden, dann Dateien löschen, dann das Einfallstor schließen. Unser Beitrag zur Bereinigung führt Sie durch die Schritte, oder Sie nutzen unsere Soforthilfe.

Wie schnell muss ich handeln?

So schnell wie möglich, am besten heute. Die Lücke wird automatisiert und massenhaft ausgenutzt. Zwischen dem Bekanntwerden einer Schwachstelle und den ersten flächendeckenden Angriffen liegen oft nur Stunden.

Ich nutze JCE Pro, finde aber kein Update. Woran liegt das?

Für Updates der Pro-Variante brauchen Sie einen gültigen Subscription-Key, der in den JCE-Einstellungen hinterlegt sein muss. Ist die Subscription abgelaufen, verlängern Sie sie kurz. Danach steht das Update über den Aktualisierungs-Bereich bereit.

Quellen

1JCE: News und Release-Hinweise zu den Versionen 2.9.99.5 und 2.9.99.6
JoomlaContentEditor (Hersteller), 2026

2Joomla Vulnerable Extensions List (VEL)
Joomla-Projekt, offizielle Liste verwundbarer Erweiterungen, 2026

3JCE Quellcode und Changelog auf GitHub (widgetfactory/jce)
widgetfactory, öffentliches Repository, 2026

4mysites.guru: Hinweise zur aktiven Ausnutzung der JCE-Lücke
mysites.guru, Fachbeitrag, 2026

5/5 - (1 vote)

Florian Konrad

Florian Konrad, Mitbegründer und Geschäftsführer der Unicorn Factory, begann bereits in der Schule mit Webentwicklung und Online-Marketing. Mit Jahren der Erfahrung hat er umfassende Expertise in SEO, Automatisierung und Webentwicklung entwickelt.

Florian Konrad

Diesen Beitrag teilen!