CVSS 10.0！Joomla JCE漏洞正被积极利用

导语：美国网络安全和基础设施安全局（CISA）将Joomla最流行内容编辑器JCE的一个满分漏洞CVE-2026-48907列入已知被利用漏洞（KEV）目录，明确确认该漏洞正在被积极攻击。攻击者无需任何认证，仅需三步HTTP请求即可在服务器上执行任意PHP代码。GitHub上已出现公开的扫描工具，安全形势严峻。

一、漏洞概述

CVE-2026-48907是Widget Factory公司开发的Joomla Content Editor（即JCE，Joomla最流行的内容编辑器，也是安装量最大的Joomla扩展之一）中的一个严重漏洞。

该漏洞属于不当访问控制（Improper Access Control），允许未认证的攻击者通过JCE的资料导入功能上传并执行任意PHP代码，最终获得服务器完整控制权。由于无需认证、无需用户交互，且直接导致远程代码执行，该漏洞的CVSS v4评分达到了满分10.0，属于紧急程度最高的漏洞。

漏洞影响范围涵盖JCE版本1.0.0至2.9.99.4。官方已于2026年6月3日发布2.9.99.5版本修复此问题，并在随后6月10日的2.9.99.6版本中进行了额外加固。

二、CISA确认被积极利用，联邦机构被强制修复

2026年6月16日，CISA将CVE-2026-48907正式列入KEV目录，并在公告中明确指出已有证据表明该漏洞正在被主动利用。

联邦民政执行机构（FCEB）被要求在2026年6月19日前完成修复补丁应用，留给管理员的窗口极短。

JCE官方在安全公告中特别警告：

“该漏洞正在被积极利用，可用的利用代码已公开，且攻击已实现自动化。即使网站没有开放公开注册功能，也并不安全。”

官方还强调了一个关键点：更新补丁只能关闭攻击入口，但无法清除已被入侵的网站中攻击者留下的后门程序。这意味着如果站点在更新前已被攻陷，仅靠更新无法根除威胁，必须进行完整的安全排查。

mySites.guru的安全研究人员Phil E. Taylor披露，攻击者正利用该漏洞导入恶意编辑器资料，借此在服务器上部署WebShell，从而建立持久化后门。

三、技术分析：三层漏洞链如何打通RCE

安全研究团队YesWeHack对该漏洞进行了完整的技术分析，揭示了这是一个由三个独立弱点串联形成的完美攻击链。移除其中任意一环，攻击即会中断。

第一层：缺失的授权验证

JCE的资料导入端点（/index.php?option=com_jce&task=profiles.import）在2.9.99.5之前的版本中，唯一的安全检查是CSRF token验证。

Joomla会在每个公开页面中嵌入CSRF token（作为隐藏表单字段或JavaScript变量），因此攻击者只需抓取任意一个页面的HTML即可获得有效token。CSRF检查只能阻止跨站表单提交，无法阻止攻击者自己构造的直接请求。

更关键的是，该端点没有任何Factory::getUser()或$user->authorise(...)调用，完全不检查用户身份。任何持有有效CSRF token的人都可以调用这个管理功能。

第二层：无文件扩展名验证

文件上传处理代码使用File::makeSafe()对文件名进行处理，但该方法仅去除操作系统非法的字符（空格、空字节、Shell元字符等），完全不检查文件扩展名。

这意味着像nuclei-deadbeef.xml.php这样的文件名可以毫无阻碍地通过”安全检查”——从文件系统角度它确实是”安全”的。服务器直接接受.php、.php5、.phtml乃至nuclei-hash.xml.php这样的双后缀文件名。

第三层：`allow_unsafe=true`关闭了最后防线

这是决定性的使能因素。Joomla的File::upload()方法签名如下：

File::upload($src, $dest, $use_streams = false, $allow_unsafe = false)

当$allow_unsafe为false（默认值）时，Joomla会启用内置的危险扩展名黑名单（.php、.php3~.php7、.phtml、.exe等），直接拒绝或重命名匹配文件。

但漏洞代码传递了true作为第四个参数：

File::upload($source, $destination, false, true);  // 关闭了安全机制！

这明确禁用了Joomla的最后一道内置防线，文件以原始.php扩展名被写入tmp/目录，可被Web服务器直接解析执行。

四、完整攻击流程：仅需三次HTTP请求

三个弱点串联，构成了一个只需三次HTTP请求的RCE攻击链：

第一步：访问目标站点任意页面，从HTML或JavaScript中提取CSRF token。

第二步：发送精心构造的multipart POST请求，携带有效CSRF token，POST到/index.php?option=com_jce&task=profiles.import，上传文件名类似nuclei-hash.xml.php的PHP文件。

POST /index.php?option=com_jce&task=profiles.import
Content-Type: multipart/form-data

--boundary
Content-Disposition: form-data; name="task"
profiles.import
--boundary
Content-Disposition: form-data; name="<csrf_token>"
1
--boundary
Content-Disposition: form-data; name="profile_file"; filename="nuclei-deadbeef.xml.php"
Content-Type: application/xml

<?= 45*69 ?>
--boundary--

服务器返回200 OK，文件已被写入/var/www/html/tmp/nuclei-deadbeef.xml.php。

第三步：直接通过HTTP访问上传的PHP文件，即可执行代码。访问/tmp/nuclei-deadbeef.xml.php，响应体返回3105（即45×69的计算结果），RCE确认。

整个过程：无会话Cookie、无用户名、无密码。

五、补丁分析：六层修复全面封堵

2.9.99.5版本从六个维度封堵了漏洞：

修复层	措施
授权检查	所有管理操作增加`core.manage`权限验证，访客用户（ID=0）直接被拒绝
扩展名白名单	仅接受`.xml`扩展名，且使用`PATHINFO_EXTENSION`取最后一个后缀组件，防止双后缀绕过
关闭unsafe标志	`$allow_unsafe`恢复为默认值`false`，重新启用扩展名黑名单
文件大小限制	上传文件限制512KB，阻断大体积恶意载荷
XXE防护	对PHP 7.x显式调用`libxml_disable_entity_loader(true)`，防止XML外部实体攻击
字段白名单	仅处理固定的合法XML字段名（name、rows、plugins等），忽略其他任意键