返回
快讯

CISA警告Joomla JCE高危漏洞遭利用

CISA已将影响 Widget Factory Joomla Content Editor (JCE) 的高危漏洞 CVE-2026-48907 纳入 KEV,称已有活跃利用。该缺陷可让未认证用户创建编辑器配置并上传、执行 PHP 代码。Joomla 建议检查可疑配置与日志,已受影响站点即使更新也需排查残留。

CVE-2026-48907

美国网络安全和基础设施安全局(CISA)周二将影响 Widget Factory Joomla Content Editor(JCE)的一个最高严重性安全漏洞加入其已知被利用漏洞(KEV)目录,并指出有证据显示该漏洞正在被积极利用。

该漏洞编号为 CVE-2026-48907(CVSS 评分:10.0),属于访问控制不当,可能导致任意代码执行。

CISA 表示:“Widget Factory Joomla Content Editor 存在一个访问控制不当漏洞,可能允许未认证用户通过创建新的编辑器配置文件来上传并执行 PHP 代码。”

根据 CVE.org 发布的漏洞描述,该问题位于 Joomla 的 JCE editor 扩展中,允许恶意行为者为未认证用户创建新的编辑器配置文件,从而实际上为 PHP 代码上传和执行铺平道路。

该问题影响 JCE 1.0.0 至 2.9.99.4 版本。该漏洞已在 2026 年 6 月 3 日发布的 2.9.99.5 版本中修补。Widget Factory 在发布说明中表示:“不足的访问控制允许未认证用户上传编辑器配置文件。”

Joomla 上周表示:“该漏洞正在被积极利用,公开可获得可用的利用代码,且攻击是自动化的,因此没有公开注册的网站也不安全。”“有一个重要说明:更新会关闭入口点,但不会清理已经被入侵的网站。如果你在更新前已经中招,更新不会移除攻击者留下的内容。”

这家内容管理系统(CMS)提供商敦促用户查找可疑的编辑器配置文件,并审计 web server 访问日志中针对配置文件导入任务的未认证请求,“index.php?option=com_jce&task=profiles.import。”

mySites.guru 的 Phil E. Taylor 透露,该漏洞正被武器化,用于导入一个恶意编辑器配置文件,并借此投放 web shell,使攻击者在服务器上获得持久后门。联邦文职行政部门(FCEB)机构已被要求在 2026 年 6 月 19 日前应用修复。

多个活动针对 WordPress 站点

此次披露之际,Sansec 详细披露了一项新的供应链攻击活动,该活动针对使用 OptinMonster、TrustPulse 和 PushEngage WordPress 插件的超过 100 万个网站,威胁行为者注入恶意 JavaScript,代码会“等待登录的管理员,创建一个后门管理员账户,并安装一个自隐藏的后门插件。”

在另一项活动中,发现未知攻击者入侵了一个 WordPress 网站,并植入一个名为“Beloved PBN Entegrasyonu”的伪造 WordPress 插件;该插件会在每次页面加载时悄悄将网站 URL 向外部 API 进行 beacon,并将服务器返回的任意 HTML 或 JavaScript 注入到网页页脚中。

目前尚不清楚攻击者究竟是如何入侵该网站的,但据称他们利用数据库中的“wp_posts”记录,以原始可执行代码的形式部署了两个 PHP web shell,并获得了通过 HTTP 与这些脚本交互的能力。进而,这使他们无需任何认证即可对整个服务器文件系统进行不受限制的读写访问。

具体来说,驻留在数据库中的 payload 使威胁行为者能够执行文件操作,例如读取、写入、编辑或删除服务器上的任何文件,浏览整个服务器中的目录,更改文件权限,重命名文件,创建新文件和文件夹,以及从自己的电脑上传文件。

Sucuri 研究员 Puja Srivastava 表示:“每一位访问被入侵网站的访客,在每次页面加载时,其页面源代码中都会收到注入的 PBN 出站链接,这会直接损害网站的搜索排名,并有可能在 Google Search Console 中招致人工处罚。”

“该活动由一名讲土耳其语的威胁行为者操作,围绕一种经典的 SEO 变现手法构建:隐藏的反向链接注入,用于 Private Blog Network(PBN),很可能与博彩和成人联盟营销领域相关。”