CISA 警告存在正在被积极利用的 Joomla JCE 漏洞，可导致 PHP 代码执行

美国网络安全和基础设施安全局 (CISA) 周二将一个影响 Widget Factory Joomla Content Editor (JCE) 的最高严重性安全漏洞添加到其已知被利用漏洞 (KEV) 目录中，并引用了存在积极利用的证据。

该漏洞编号为 CVE-2026-48907（CVSS 评分：10.0），是一个访问控制不当的案例，可能促成任意代码执行。

CISA 表示：“Widget Factory Joomla Content Editor 包含一个访问控制不当漏洞，可能允许为未经身份验证的用户创建新的编辑器配置文件，从而导致 PHP 代码的上传和执行。”

根据 CVE.org 上发布的漏洞描述，该问题存在于 Joomla 的 JCE 编辑器扩展中，允许恶意行为者为未经身份验证的用户创建新的编辑器配置文件，从而为 PHP 代码上传和执行铺平道路。

该问题影响 JCE 1.0.0 至 2.9.99.4 版本。已在 2026 年 6 月 3 日发布的 2.9.99.5 版本中修复。Widget Factory 在其发布说明中表示：“访问控制不足，允许未经身份验证的用户上传编辑器配置文件。”

Joomla 上周表示：“该漏洞正在被积极利用，可用的利用代码是公开的，并且攻击是自动化的，因此没有公开注册的网站也不安全。重要的一点是：更新可以关闭入口点，但不会清理已被入侵的网站。如果您在更新前已被攻击，更新不会移除攻击者留下的内容。”

该内容管理系统 (CMS) 提供商已敦促用户查找可疑的编辑器配置文件，并审计 Web 服务器访问日志中针对配置文件导入任务 "index.php?option=com_jce&task=profiles.import" 的未经身份验证的请求。

mySites.guru 的 Phil E. Taylor 透露，该漏洞正被武器化，用于导入 rogue 编辑器配置文件，并利用它投放 web shell，从而为攻击者在服务器上提供持久后门。联邦民事行政部门 (FCEB) 机构已被命令在 2026 年 6 月 19 日之前应用修复程序。

多个活动针对 WordPress 网站

这一披露正值 Sansec 详细描述了一项新的供应链攻击活动，该活动针对超过 100 万个使用 OptinMonster、TrustPulse 和 PushEngage WordPress 插件的网站，威胁行为者注入了恶意 JavaScript，该脚本“等待已登录的管理员，创建后门管理员账户，并安装自隐藏的后门插件。”

在另一个活动中，发现未知攻击者入侵了一个 WordPress 网站，嵌入了一个名为 "Beloved PBN Entegrasyonu" 的虚假 WordPress 插件，该插件在每次页面加载时悄悄地将网站 URL 发送到外部 API，并将服务器返回的任意 HTML 或 JavaScript 注入到网页的页脚中。

攻击者究竟如何入侵该网站尚不清楚，但据称该访问权限使他们能够将两个 PHP web shell 作为原始可执行代码存储在 "wp_posts" 数据库记录中，并使他们能够通过 HTTP 与脚本交互。这反过来促成了对整个服务器文件系统的无限制读写访问，无需任何身份验证。

具体来说，驻留在数据库中的 payload 允许威胁行为者执行文件操作，例如读取、写入、编辑或删除服务器上的任何文件，浏览整个服务器上的目录，更改文件权限，重命名文件，创建新文件和文件夹，以及从他们自己的计算机上传文件。

Sucuri 研究员 Puja Srivastava 表示：“每次页面加载时，访问受感染网站的每个访问者都会在其页面源代码中收到注入的 PBN 出站链接，这直接损害了网站的搜索排名，并面临 Google Search Console 中手动处罚的风险。该活动由一个讲土耳其语的威胁行为者运营，并围绕一个经典的 SEO 货币化方案构建：为私有博客网络 (PBN) 注入隐藏的反向链接，很可能与赌博和成人联盟营销领域有关。”