事件经过
CISA 于 2026 年 6 月 16 日将 CVE-2026-48907 (CVSS 10.0) 添加到其已知被利用的漏洞目录中,引用了已确认的主动利用。该漏洞是 Joomla 的 JCE 编辑器扩展中的访问控制不当漏洞,允许未经身份验证的用户创建编辑器配置文件并滥用配置文件导入功能来上传和执行 PHP 代码,在网络服务器上产生未经身份验证的 RCE。
影响分析
尽管 JCE 是一个通用 CMS 组件而不是 AI 特定的基础设施,但它根据 KEV 覆盖规则包括在内(CISA KEV 添加是 A 级操作信号)。Joomla 站点越来越多地托管 AI 聊天机器人插件、AI 内容生成工具和 AI 驱动的搜索集成;Joomla 主机上的网络 shell 可以危害存储在 CMS 配置中的 AI API 密钥和凭证。
攻击途径
未经身份验证的攻击者通过 JCE 配置文件创建端点(由于访问控制不当,不需要登录)创建新的编辑器配置文件,然后滥用配置文件导入功能来上传和执行服务器上的任意 PHP 代码 — 产生完整的网络 shell 访问权限。
受影响系统
Widget Factory Joomla Content Editor (JCE) — 最广泛安装的 Joomla CMS 编辑器扩展
缓解措施
根据供应商建议立即应用 JCE 安全补丁。CISA 联邦期限:2026 年 6 月 19 日。参见:https://www.joomlacontenteditor.net/news/jce-security-update-and-a-free-patch-for-older-sites