文章总结： CISA要求联邦机构在本周五前修复JoomlaWidgetFactory插件中的严重漏洞CVE-2026-48907，该CVSS满分漏洞正遭活跃利用，允许未认证攻击者执行代码。JCE团队已发布2.9.99.6版本修复，建议用户立即更新并清理被入侵站点，包括删除恶意配置文件、更改所有密码和运行恶意软件扫描。 综合评分： 85 文章分类： 漏洞预警,政策法规,应急响应,解决方案,安全运营

CISA 要求联邦机构在本周五前修复Joomla 插件满分漏洞

Ravie Lakshmanan Ravie Lakshmanan

代码卫士

2026年6月18日 15:59 北京

在小说阅读器读本章

去阅读

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

美国网络安全和基础设施安全局（CISA）下令联邦机构在本周五前，修复Widget Factory Joomla内容编辑器（JCE）插件中CVSS评分最高的、正遭活跃利用的严重漏洞 CVE-2026-48907。

威胁行动者无需权限即可通过针对 JCE WYSIWYG 编辑器插件的 Joomla部署的低复杂度攻击，利用该漏洞，实现代码执行。CISA 在本周二提醒称，“Widget Factory Joomla Content 编辑器中存在一个访问控制不当漏洞，通过为未经身份认证用户创建新的编辑器资料，即可上传和执行 PHP 代码。”

JCE安全团队已于6月初发布JCE Pro 2.9.99.6修复该漏洞，并提醒用户尽快更新。该团队表示：“如果您尚未更新，请立即执行。该漏洞正遭活跃利用，可用的利用代码已公开，且攻击是自动化的，因此即使没有开放注册的网站也不安全。一个重要提示：更新可以关闭入口，但无法清理已被入侵的网站。如果您在更新前已遭攻击，更新不会移除攻击者留下的后门。”

要清理被入侵的站点，建议用户首先备份恶意配置文件以供进一步调查，然后更新到JCE 2.9.99.6或更高版本，删除攻击者的配置文件，更改所有密码（包括管理员账户、站点数据库和托管账户的密码），然后运行完整的服务器端恶意软件扫描，以确认没有其它恶意工具或植入物被安放。

周二，CISA将该漏洞添加到已知被利用漏洞目录中，并要求联邦文职行政部门（FCEB）机构根据约束性操作指令（BOD）26-04的要求，在周五前确保系统安全。

CISA警告称：“此类漏洞是恶意网络行为者的常用攻击载体，对联邦企业构成重大风险。请遵循适用的BOD 26-04关于云服务的指南，如果无法获得缓解措施，则停止使用该产品。利益相关者负责评估每项资产的互联网暴露情况，并确保遵守BOD 26-04的修复指南。”

CISA BOD 26-04于上周三发布，要求美国政府机构根据每个漏洞的利用风险优先级进行修复。评估风险时需要考虑的关键因素包括：该漏洞是否包含在CISA已知被利用漏洞目录中，易受攻击的资产是否公开暴露于互联网，利用是否可自动化以进行大规模攻击，以及是否授予攻击者对目标系统的部分或完全控制权。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

CISA：SolarWinds Serv-U 高危漏洞已遭利用

CISA：须在周日前修复已遭利用的 Ivanti EPMM 漏洞

CISA要求三天内修复这个严重的 F5 BIG-IP 漏洞

CISA：Wing FTP 已遭利用漏洞可泄露服务器路径

CISA：VMware Aria Operations RCE漏洞已遭利用

原文链接

https://www.bleepingcomputer.com/news/security/cisa-orders-feds-to-patch-max-severity-joomla-plugin-flaw-by-friday/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Ravie Lakshmanan Ravie Lakshmanan《CISA 要求联邦机构在本周五前修复Joomla 插件满分漏洞》