文章总结： CISA将JoomlaJCE编辑器扩展的CVE-2026-48907漏洞列入已知被利用目录，该漏洞允许未认证攻击者创建编辑器配置并上传执行PHP代码。文档强调单纯更新插件不足以消除风险，必须同步检查入侵痕迹、扫描恶意文件、轮换各类凭据，并特别提醒企业需验证供应商的防护措施。 综合评分： 84 文章分类： 漏洞分析,应急响应,漏洞预警,WEB安全,安全建设

Joomla JCE 漏洞已被自动化利用：小网站也可能变成 PHP 后门入口

原创

tcode tcode

字节脉搏实验室

2026年6月18日 10:19 北京

在小说阅读器读本章

去阅读

摘要：CISA 将 Widget Factory Joomla Content Editor（JCE）的CVE-2026-48907 加入已知被利用漏洞目录，要求美国联邦机构在2026 年 6 月19 日前完成处置。该漏洞影响 JCE 旧版本，未认证攻击者可创建新的编辑器配置，最终可能上传并执行 PHP 代码。对站长来说，真正关键的是：升级只是关门，不代表已经清理掉入侵痕迹。

一、为什么这件事不能只当成“插件更新”

很多中小网站对 CMS 插件漏洞的处理方式很简单：后台看到更新，点一下；没看到异常，就先放着。

CVE-2026-48907 不适合这样处理。

它影响的是 Joomla 生态里常见的 JCE 编辑器扩展。JCE 的“编辑器配置”本来用于控制不同用户能看到哪些工具栏、能上传什么文件、能访问哪些目录。问题在于，旧版本存在访问控制缺陷，攻击者可以在未登录的情况下创建新的编辑器配置，进而打开不该开放的上传路径。

这类漏洞的危险点不只是“能上传文件”。一旦上传内容能被 Web 服务器当作 PHP 执行，网站就可能被植入后门、篡改页面、投放恶意脚本，或者变成下一轮攻击的跳板。

二、目前可以确认的事实

CISA 的 KEV 目录显示，CVE-2026-48907 已有被利用证据，修复截止日期为 2026 年 6 月 19 日。BleepingComputer 和 The Hacker News 在 6 月 17 日的报道中均提到，该漏洞可在未认证条件下被利用，并导致 PHP 代码上传和执行风险。

JCE 官方在 6 月 12 日发布的安全说明中写明，6 月 3 日发布的 JCE 2.9.99.5 修复了早期版本中的关键漏洞，6 月 6 日发布的 2.9.99.6 又加入了额外加固；官方建议所有站点升级到 JCE Pro 2.9.99.6。JCE 也提醒：更新能关闭入口，但不能清理已经被入侵的网站。

NVD 对该漏洞的描述同样指出，JCE 编辑器扩展的问题允许未认证用户创建新的编辑器配置，最终导致 PHP 代码上传和执行。

需要强调的是，本文不提供具体请求路径、利用参数、样本文件或复现步骤。对防守方而言，知道风险链条和处置优先级已经足够。

三、为什么“没有开放注册”也不能当作缓解措施

很多站长会下意识认为：我的网站没有开放用户注册，应该没事。

这次不成立。

问题的关键在于未认证路径。也就是说，攻击者不需要先拥有一个普通账号，不需要等你开放会员功能，也不需要成为内容编辑。只要网站暴露在公网、运行受影响 JCE 版本，就应该按高优先级处理。

此外，JCE 是编辑器插件，不是网站首页上看得见的业务功能。攻击者扫描的往往不是页面外观，而是特定组件、版本和接口。低流量网站、企业展示站、旧 Joomla 站点，反而可能因为长期没人维护而更容易被自动化脚本扫到。

四、站长和运维应该怎么做

第一，立即盘点所有 Joomla 站点是否安装 JCE。不要只查主站，也要查活动页、历史项目站、供应商代管站、测试站和已经很少访问的老站。

第二，将 JCE 升级到官方建议的安全版本。优先升级到 2.9.99.6 或更高版本；如果站点环境太旧，至少按官方说明应用临时安全补丁，但这只能作为过渡方案。

第三，升级后检查是否已经被入侵。重点看是否出现异常编辑器配置、异常上传文件、陌生 PHP 文件、未知后台账号、最近的 Web 访问异常和文件修改时间异常。

第四，轮换关键密码。包括 Joomla 超级管理员、数据库账号、主机控制面板、FTP/SFTP、SSH、云服务器和备份系统账号。不要只改 Joomla 后台密码。

第五，做一次服务器侧恶意文件扫描。因为如果入侵发生在升级之前，后门可能已经不依赖这个漏洞继续存在。

五、企业客户还要多做一步：供应商边界

很多企业官网并不是内部团队维护，而是交给建站供应商、代理商或外包团队。

这时候不能只发一句“请更新插件”。企业应该要求对方给出可验证结果：当前 Joomla 版本、JCE 版本、升级时间、是否发现异常配置、是否扫描 WebShell、是否轮换过运维账号、是否保存日志证据。

如果供应商无法提供这些信息，企业至少应把官网和核心业务系统隔离，不要让企业展示站与内部系统、OA、数据库、文件服务器处在过宽的网络信任关系里。

六、事实、推测和观点

事实：CVE-2026-48907 已进入 CISA KEV 目录；JCE 官方已发布修复和加固版本；公开漏洞描述显示未认证攻击者可创建编辑器配置并导致 PHP 代码上传和执行风险。

推测：目前公开信息没有证明所有攻击都来自同一组织，也没有公开完整受害规模。看到扫描或入侵痕迹时，不能直接归因到具体团伙。

观点：这类 CMS 插件漏洞的核心风险不是“某个小组件出问题”，而是网站长期作为互联网入口存在，却缺少资产盘点、版本治理和入侵后清理流程。

结语

对 Joomla 站点来说，这次 JCE 漏洞的处理顺序很明确：先升级，再检查，再清理，再轮换凭据。

不要把“更新成功”当作终点。更新只是阻止新的进入路径，真正的安全闭环是确认攻击者没有已经留下东西。

参考来源

1. CISA Known Exploited Vulnerabilities Catalog，CVE-2026-48907，修复截止日期 2026-06-19。

https://www.cisa.gov/known-exploited-vulnerabilities-catalog

2. JCE Editor：《JCE security update, and a free patch for older sites》，创建于 2026-06-12。

https://www.joomlacontenteditor.net/news/jce-security-update-and-a-free-patch-for-older-sites

3. BleepingComputer：《CISA orders feds to patch max severity Joomla plugin flaw by Friday》，Sergiu Gatlan，发布于 2026-06-17 06:09 AM。

https://www.bleepingcomputer.com/news/security/cisa-orders-feds-to-patch-max-severity-joomla-plugin-flaw-by-friday/

4. The Hacker News：《CISA Warns of Actively Exploited Joomla JCE Flaw Allowing PHP Code Execution》，Ravie Lakshmanan，发布于 2026-06-17。

https://thehackernews.com/2026/06/cisa-warns-of-actively-exploited-joomla.html

5. NVD：CVE-2026-48907 Detail。

https://nvd.nist.gov/vuln/detail/CVE-2026-48907

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：字节脉搏实验室 tcode tcode《Joomla JCE 漏洞已被自动化利用：小网站也可能变成 PHP 后门入口》