2026-06-23 05:56:28 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： CVE-2026-48907是JoomlaJCE编辑器扩展中的高危未授权远程代码执行漏洞，影响2.9.99.5之前版本。漏洞由三个链式缺陷构成：配置文件导入端点缺乏身份验证、无文件扩展名检查、上传安全机制被显式禁用。攻击者可利用公开CSRFToken上传恶意PHP文件实现RCE。建议用户立即升级至2.9.99.5或更高版本。 综合评分： 85 文章分类： 漏洞分析,WEB安全,代码审计,应急响应,安全工具

cover_image

CVE-2026-48907｜Joomla JCE编辑器扩展未授权远程代码执行漏洞（POC）

alicy alicy

信安百科

2026年6月21日 20:00 河北

在小说阅读器读本章

去阅读

0x00 前言

Joomla是一套自由、开放源代码的内容管理系统，以PHP撰写，用于发布内容在万维网与内部网，通常被用来搭建商业网站、个人博客、信息管理系统、Web 服务等，还可以进行二次开发以扩充使用范围。其功能包含可提高性能的页面高速缓存、RSS馈送、页面的可打印版本、新闻摘要、博客、投票、网站搜索、与语言国际化。

Joomla Content Editor（JCE）是由 Joomla Content Editor 团队开发的一款功能强大的编辑器扩展，是 Joomla 生态中最受欢迎的内容编辑组件之一。JCE 提供了丰富的编辑功能，包括图片管理、文件浏览器、媒体嵌入、源代码编辑器等，广泛应用于基于 Joomla CMS 构建的企业网站、门户和内容管理平台。

0x01 漏洞描述

该漏洞的根因是 JCE 扩展配置文件导入功能中存在三个独立缺陷的链式组合，共同构成了完整的攻击路径。漏洞类型为访问控制不当（CWE-284）。

缺陷一：导入操作缺少身份认证。JCE 的配置文件导入端点 /index.php?option=com_jce&task=profiles.import 在 2.9.99.5 之前的版本中未进行任何用户身份验证。该端点唯一的访问控制是 CSRF Token 检查，而 Joomla 在所有公共页面（包括首页）的 HTML 源码和 JavaScript 变量中公开了该 Token，攻击者可通过简单的 GET 请求获取。

缺陷二：无文件扩展名校验。导入功能在处理上传文件时，仅使用 File::makeSafe() 对文件名进行字符清理，但该函数不检查文件扩展名。攻击者可上传 .php、.php5、.phtml 或双扩展名文件（如 .xml.php），Apache 的 mod_php 模块会将最后一个可识别的 PHP 扩展名作为执行依据。

缺陷三：上传安全机制被显式禁用。Joomla 的 File::upload() 方法内置了危险扩展名黑名单（.php、.php3-.php7、.phtml、.exe 等），但 JCE 调用时将第四个参数 $allow_unsafe 设置为 true，显式关闭了这一安全防护。

0x02 CVE编号

CVE-2026-48907

0x03 影响版本

Joomla&nbsp;Content Editor (JCE) <&nbsp;2.9.99.5

0x04 漏洞详情

0x05 参考链接

https://www.joomlacontenteditor.net/

https://github.com/ynsmroztas/JoomlaSniper

https://www.yeswehack.com/news/rce-joomla-content-editor-extension

推荐阅读：

CVE-2026-21630｜Joomla的SQL注入漏洞

CVE-2024-21726｜Joomla存在多个XSS漏洞（结合自定义模版可RCE）

CVE-2026-48842｜Roundcube Webmail插件SQL注入漏洞

Ps：国内外安全热点分享，欢迎大家分享、转载，请保证文章的完整性。文章中出现敏感信息和侵权内容，请联系作者删除信息。信息安全任重道远，感谢您的支持！！！

本公众号的文章及工具仅提供学习参考，由于传播、利用此文档提供的信息而造成任何直接或间接的后果及损害，均由使用者本人负责,本公众号及文章作者不为此承担任何责任。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：信安百科 alicy alicy《CVE-2026-48907｜Joomla JCE编辑器扩展未授权远程代码执行漏洞（POC）》