CISA 将 Joomla JCE 漏洞 CVE-2026-48907 添加到 KEV 目录

执行摘要

美国网络安全和基础设施安全局（CISA）于周二将一个严重级别的漏洞添加到其已知被利用漏洞（KEV）目录中，该漏洞存在于Widget Factory Joomla内容编辑器（JCE）中，确认了在野外的活跃利用。这个漏洞被追踪为CVE-2026-48907，拥有CVSS得分10.0——最高可能的严重性级别——源自一个不当的访问控制机制，允许未经身份验证的攻击者在易受攻击的Joomla安装上执行任意PHP代码。

运行带有JCE插件的Joomla站点的防御者应将此视为紧急优先事项。CISA已强制联邦民用行政部门（FCEB）机构根据绑定操作指令（BOD）22-01，在2026年7月7日之前应用缓解措施。虽然指令仅适用于美国联邦机构，但活跃利用证据强烈表明所有Joomla管理员应立即打补丁。

技术分析

该漏洞存在于**Widget Factory Joomla内容编辑器（JCE）**中，这是一个流行的WYSIWYG编辑器插件，用于扩展Joomla的默认内容编辑功能。根据CISA发布的咨询，CVE-2026-48907是一个不当的访问控制漏洞，使攻击者能够绕过身份验证检查并在底层服务器上执行任意PHP代码。

CVSS 10.0的评分表明，该漏洞在网络上无需身份验证、用户交互或任何特殊权限即可轻易被利用。利用可能涉及向JCE组件发送精心制作的HTTP请求以触发代码执行路径。CISA的公开咨询中缺乏具体的技术细节与其标准做法一致，即在补丁广泛部署之前保留利用机制。

截至本文撰写时，Widget Factory尚未发布公开声明或JCE插件的修补版本。该公司的网站将JCE版本2.9.80列为最新发布，但尚不清楚此版本是否解决了漏洞或是否有更新待发布。CISA的KEV条目没有指定受影响的版本范围，尽管该漏洞可能影响所有未修补的插件安装。

JCE插件在Joomla驱动的网站中广泛使用，包括政府门户、教育机构、媒体渠道和中小型企业。最大CVSS得分、活跃利用和广泛部署的组合使得这对网络托管和内容管理系统构成了高风险场景。

缓解措施与建议

CISA已指示FCEB机构在2026年7月7日之前修复CVE-2026-48907。对于所有其他组织，主要的缓解措施是尽快应用Widget Factory的安全更新。在此期间，防御者应考虑以下行动：

• 如果插件对日常操作并非必需，在生产Joomla站点上禁用JCE插件。Joomla的内置编辑器可以作为临时替代品。
• 监控Web服务器访问日志，查找与JCE相关的端点的异常POST请求，特别是那些包含PHP代码片段或不寻常查询参数的请求。
• 应用Web应用程序防火墙（WAF）规则以阻止已知的利用模式。通用的PHP代码注入签名可能在供应商补丁发布之前提供部分保护。
• 限制对Joomla管理界面（例如，/administrator/）的网络访问到受信任的IP范围，减少未经身份验证的利用的攻击面。

使用Joomla的组织应订阅Widget Factory安全邮件列表或监控Joomla扩展目录（JED）以获取补丁公告。鉴于活跃利用状态，此漏洞可能被纳入自动化利用工具包和大规模扫描活动。