El 17 de junio, la agencia estadounidense de ciberseguridad CISA añadió a su catálogo de vulnerabilidades conocidas explotadas (KEV) un fallo de gravedad máxima en Joomla Content Editor (JCE), el popular editor de la plataforma Widget Factory. La vulnerabilidad, identificada como CVE-2026-48907, alcanza la puntuación perfecta de 10,0 en la escala CVSS.

El problema es de control de acceso indebido y permite a un atacante ejecutar código arbitrario en el servidor, es decir, hacerse con el control completo del sitio. JCE es uno de los componentes más instalados del ecosistema Joomla, lo que multiplica el número de webs potencialmente afectadas. Su inclusión en el catálogo KEV implica que ya hay explotación activa documentada.

Joomla sigue dando soporte a una porción enorme de la web —desde administraciones públicas hasta pequeños comercios—, y muchos de esos sitios apenas se actualizan. Una vulnerabilidad de CVSS 10 en un complemento tan extendido es la receta clásica de la explotación masiva.

Un CVSS de 10 en un complemento omnipresente no es una noticia técnica, es una cuenta atrás. La web está construida sobre capas de CMS y plugins que casi nadie mantiene, y cada uno es una puerta. La señal real es el patrón: el atacante ya no busca el fallo más sofisticado, sino el más extendido y peor parcheado, porque el coste de explotar mil sitios iguales es casi cero. CISA marcando «explotación activa» es el equivalente a una sirena: a partir de ahí, el reloj corre para todos los administradores que no hayan actualizado. En la web, la deuda de mantenimiento siempre se paga, y normalmente la paga un tercero.