JCE 安全通知
如果您收到我发来的邮件,指引您访问本页面,那是因为您的网站似乎正在运行过时版本的 Joomla Content Editor (JCE) 插件。本页面将说明这为何重要以及如何修复。
本通知涉及 CVE-2026-48907,这是一个严重(CVSS 10.0)、正被积极利用的缺陷, 它允许未经身份验证的远程代码执行。它影响 JCE 1.0.0 至 2.9.99.4 版本, 并已在 2.9.99.5 中修复,同时在 2.9.99.6 中做了额外加固。如果您正在运行受影响的版本, 请尽快 升级到 JCE 2.9.99.6(见下方如何升级)。
这条消息是否可信?
是的。这是一份来自独立安全研究人员的善意、负责任披露通知。我 不会 向您索要金钱、 密码或对您站点的访问权限,也 没有 试图入侵它或利用任何漏洞。
我所做的一切,只是查看您的网站向每一位访问者提供的公开可见文件(就像您的主页是公开的一样), 并记录 JCE 插件在这些文件中公布的版本号。这项检查完全不涉及您的数据、您的后台管理区域, 或您站点的任何私密部分。
如果您想核实我的身份,请查看本页底部的联系方式以及关于页面。
为什么这很重要
Joomla Content Editor 是 Joomla 内容管理系统中使用极为广泛的编辑器插件。较旧的版本包含 已知的安全漏洞。攻击者会积极扫描互联网,寻找运行这些过时版本的站点,一种常见的结果是 网站被篡改:您的页面被不应拥有访问权限的人替换或改动。
由于这些存在漏洞的版本有充分的文档记录且容易被发现,这并非理论上的风险。好消息是, 修复起来很简单,升级即可堵上这个漏洞。
如何检查您的版本
您不必仅凭我的说法来判断自己运行的是哪个版本。如果您有权访问 Joomla 后台管理区域:
- 登录您的 Joomla 后台(通常位于
yourdomain.com/administrator)。 - 前往 System 然后 Manage 然后 Extensions(或 Extensions 然后 Manage,取决于您的 Joomla 版本)。
- 搜索 JCE 并记下已安装的版本。
将其与官方 JCE 站点上的最新版本进行比较(见下文)。如果您的版本较旧,就应当升级。
如何升级
最安全的做法是通过 Joomla 自身进行更新,并事先做好备份:
- 在做出更改之前 备份您的站点(文件和数据库)。大多数主机服务商都提供一键备份, 或者使用 Joomla 备份扩展。
- 在 Joomla 后台,打开 Extensions 然后 Manage 然后 Update,并点击 Find Updates。如果列出了 JCE 更新,就从这里安装它。
- 如果那里没有出现更新,请直接从官方 JCE 项目 https://www.joomlacontenteditor.net 下载最新版本,并通过 Extensions 然后 Install 进行安装。
- 升级后,按照上述步骤确认新的版本号,并检查您的站点是否能正常加载和编辑。
既然您已经在处理这些,不妨顺便确认 Joomla 本身 以及您的其他扩展是否都是最新的, 因为同样的原则适用于所有这些组件。
我没有网站管理员 / 我遇到了困难
如果您不是维护站点的人,请将本页面转发给负责维护的人(您的网页开发者、代理机构或主机服务商)。 他们会很快认出上述步骤。
如果您自己维护站点却遇到了困难,我很乐意免费帮您指明正确的方向。请使用下方的联系方式与我联系。
联系方式
Evan Harris,安全研究员
- 电子邮件:security@mail.mcpsec.dev
- X:@Evan__Harris
- GitHub:eharris128
我就此类问题主动联系,纯粹是为了帮助运营者保护他们的站点。如果您希望不再被联系, 只需告诉我,我会予以尊重。
参考资料
官方通告与追踪
- NVD 条目 (CVE-2026-48907)
- MITRE CVE 记录
- GitHub Advisory Database (GHSA-c3f5-4g7f-qjqj)
- CISA 已知被利用漏洞警报(2026 年 6 月 16 日)
厂商(Joomla Content Editor)
媒体报道