文章总结： CVE-2026-48907是JCEEditor在Joomla扩展中的高危未授权访问漏洞，允许攻击者无需登录即可导入恶意配置并上传PHPWebshell。受影响版本为2.9.99.4及更早，需立即升级至2.9.99.6并排查恶意文件。文档提供了漏洞原理、攻击步骤、检测方法和修复指南。 综合评分： 85 文章分类： 漏洞分析,应急响应,WEB安全,安全预警,解决方案

CVE-2026-48907：JCE Editor 未授权访问漏洞已致数百站点失陷

kelvin kelvin

Mimi is Cat

2026年6月11日 15:50 广东

在小说阅读器读本章

去阅读

安全预警 · 2026年6月11日

⚠️ 影响评级：高危 无需登录，两步即可完成 Webshell 上传，攻击代码已于 6月9日 公开，Joomla 用户务必立即排查。

一句话说清这个洞

JCE Editor（Joomla 内容编辑器扩展）在 2.9.99.4 及更早版本中存在一个致命的未授权访问控制缺陷。

漏洞的核心非常直白：JCE 的编辑器配置文件（Editor Profiles）导入接口没有做权限校验。任何一个能访问你网站首页的人，都可以通过这个接口导入一个恶意配置，然后利用这个配置直接上传 PHP 文件到服务器。

整个过程不需要登录、不需要注册、不需要任何凭证。

核心结论：如果你的 Joomla 站点安装了 JCE Editor 且版本 ≤ 2.9.99.4，你的服务器现在可能已经被植入 Webshell。请看到这里先暂停阅读，去检查一下。

漏洞基本信息

| 项目 | 详情 | | — | — | | CVE 编号 | CVE-2026-48907 | | 受影响组件 | JCE Editor（Joomla 扩展） | | 漏洞类型 | 未授权访问控制缺陷 | | 受影响版本 | JCE 2.9.99.4 及更早版本 | | 修复版本 | JCE 2.9.99.5（修复）→ 2.9.99.6（推荐） | | 影响平台 | Joomla 4/5/6（WordPress 不受影响） | | PoC 公开时间 | 2026年6月9日 | | 已有受害站点 | 数百个，预计将快速扩大 |

攻击是如何发生的？三步就够

这个攻击链的简洁程度令人不安——攻击者只需要发三个 HTTP 请求：

1

导入恶意配置文件（无需登录） 攻击者向 /index.php?option=com_jce&task=profiles.import 发送 POST 请求，传入一个精心构造的 XML 配置文件。这个配置文件会创建一个允许上传 PHP 脚本的 Editor Profile。

2

上传 Webshell 利用刚导入的恶意 Profile，攻击者通过文件浏览器插件直接上传 PHP Webshell 到服务器目录（如 /images/、/tmp/ 等可写位置）。

3

执行命令，完全控制 访问上传的 Webshell，执行任意系统命令——服务器正式沦陷。

# 攻击者只需这条命令验证 Webshell 是否生效：
curl https://受害站点/images/m.php?cmd=id

为什么这么危险？ 即使你关闭了用户注册、没有任何公开表单、甚至只运行一个静态企业官网——只要 Joomla + JCE 在运行，这个洞就敞开着。攻击者使用的自动化扫描工具正在全网批量探测。

恶意配置长什么样？

如果攻击者成功导入了恶意 Profile，它在数据库中的特征非常明显：

| 特征 | 正常配置 | 恶意配置 | | — | — | — | | 名称 | 描述性命名（如”Default”） | 机器生成，如 J940401 或 Pwned | | 排序值 | 正常正数 | 极大负数（-99999），强制置顶优先生效 | | 文件类型白名单 | 仅图片/文档 | 包含 php、phtml、txt | | 创建方式 | 管理员手动创建 | 通过接口导入，无后台操作日志 |

如何快速排查是否中招？

方法一：数据库直接查

执行以下 SQL 查询，看是否存在可疑 Profile（名称符合 J + 6位数字 格式）：

SELECT id, name
FROM <替换为你的表前缀>_wf_profiles
WHERE name REGEXP '^J[0-9]{6}$';

如果返回结果不为空，你大概率已经被攻击。

方法二：日志搜索

在 Web 服务器日志（nginx access.log 或 Apache）中搜索以下关键词：

task=profiles.import
method=upload

如果同一秒或相邻时间内出现先 profiles.import 返回 200，再 method=upload 返回 200，这就是攻击成功的标志。

方法三：目录扫描

攻击者遗留的恶意文件通常藏在这些位置：

• /images/

  — 最常见

• /tmp/

• /media/system/js/

• /libraries/joomla/

特别注意以 .xml.php 结尾的文件，以及名为 Nxploited 的标记文件——后者是自动化攻击工具用来识别已攻陷站点的”记号”。

如何修复？（按顺序执行）

1

立即升级 JCE 将 JCE Editor 升级到 2.9.99.6（2.9.99.5 修复了漏洞，2.9.99.6 做了额外加固）。免费版和专业版都适用，升级不会影响任何现有功能。

2

清理恶意 Profile 登录 Joomla 后台 → Components → JCE Editor → Editor Profiles，删除所有可疑的 Profile（特别是名称异常的）。

3

清除 Webshell 扫描上述目录，删除所有来历不明的 PHP 文件。

4

轮换凭证 修改 Joomla 密钥文件、重置所有管理员密码，使所有现有 Session 失效——防止攻击者已窃取的凭证被继续利用。

5

持续监控 部署文件完整性监控，关注 JCE 和 Joomla 的安全公告。

⚠️ 关键提醒：只删除 Webshell 而不升级 JCE，等于给攻击者留了一把钥匙。他们会用同样的入口再次入侵你的站点。

这个漏洞和历史上的某件事很像

如果关注 Joomla 安全的朋友可能会觉得熟悉——2012 年，JCE 的 ImageManager 插件也曾曝出未授权上传漏洞（CVE-2012-2902），当时波及了数万个站点。

这次 CVE-2026-48907 的攻击模式与当年几乎如出一辙，只是受害范围从 ImageManager 扩展到了更底层的 Profile 导入接口。历史不会重复，但总是押韵。

攻击者已经大规模行动了

根据安全研究人员的追踪，攻击来自多个不同 IP（包括 107.149.130.5、92.38.150.143、45.153.129.241 等），使用的是自动化批量扫描工具。

PoC 代码于 6月9日 在 GitHub 公开后，攻击行为预计将在接下来几天大幅增加。目前已有数百个确认受害站点，随着更多安全从业者参与排查，这个数字还会持续上升。

好消息是：这个漏洞只影响 Joomla。如果你用的是 WordPress、Drupal 或其他 CMS，JCE Editor 不存在于这些平台上，不受此漏洞影响。

时间线

| 时间 | 事件 | | — | — | | 2026年6月初 | 漏洞被安全研究人员发现并报告 | | 2026年6月 | JCE 团队发布 2.9.99.5 修复版本 | | 2026年6月7日 | mysites.guru 团队开始大规模扫描受影响站点 | | 2026年6月9日 | PoC 代码在 GitHub 公开，攻击面急剧扩大 | | 2026年6月 | JCE 2.9.99.6 发布，进一步加固 |

参考连接

查找并修复JCE配置文件破解 |mySites.guru

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Mimi is Cat kelvin kelvin《CVE-2026-48907：JCE Editor 未授权访问漏洞已致数百站点失陷》