CVE-2026-48907｜Joomla JCE编辑器扩展未授权远程代码执行漏洞（POC）

信安百科

发布于 2026-06-24 13:08:56

1120

0x00 前言

Joomla是一套自由、开放源代码的内容管理系统，以PHP撰写，用于发布内容在万维网与内部网，通常被用来搭建商业网站、个人博客、信息管理系统、Web 服务等，还可以进行二次开发以扩充使用范围。其功能包含可提高性能的页面高速缓存、RSS馈送、页面的可打印版本、新闻摘要、博客、投票、网站搜索、与语言国际化。

Joomla Content Editor（JCE）是由 Joomla Content Editor 团队开发的一款功能强大的编辑器扩展，是 Joomla 生态中最受欢迎的内容编辑组件之一。JCE 提供了丰富的编辑功能，包括图片管理、文件浏览器、媒体嵌入、源代码编辑器等，广泛应用于基于 Joomla CMS 构建的企业网站、门户和内容管理平台。

0x01 漏洞描述

该漏洞的根因是 JCE 扩展配置文件导入功能中存在三个独立缺陷的链式组合，共同构成了完整的攻击路径。漏洞类型为访问控制不当（CWE-284）。

缺陷一：导入操作缺少身份认证。JCE 的配置文件导入端点 /index.php?option=com_jce&task=profiles.import 在 2.9.99.5 之前的版本中未进行任何用户身份验证。该端点唯一的访问控制是 CSRF Token 检查，而 Joomla 在所有公共页面（包括首页）的 HTML 源码和 JavaScript 变量中公开了该 Token，攻击者可通过简单的 GET 请求获取。

缺陷二：无文件扩展名校验。导入功能在处理上传文件时，仅使用 File::makeSafe() 对文件名进行字符清理，但该函数不检查文件扩展名。攻击者可上传 .php、.php5、.phtml 或双扩展名文件（如 .xml.php），Apache 的 mod_php 模块会将最后一个可识别的 PHP 扩展名作为执行依据。

缺陷三：上传安全机制被显式禁用。Joomla 的 File::upload() 方法内置了危险扩展名黑名单（.php、.php3-.php7、.phtml、.exe 等），但 JCE 调用时将第四个参数 $allow_unsafe 设置为 true，显式关闭了这一安全防护。