引言

2026年5月26日，Joomla 项目官方发布了 Joomla 6.1.1 和 Joomla 5.4.6 两个安全与Bug修复版本。本次更新涉及 10个安全漏洞，其中包含被评级为"严重"（Critical）的 com_users 权限提升漏洞，以及两个高危的 MFA（多因素认证）绕过漏洞。对于所有使用 Joomla 5.x 和 6.x 系列的站点管理员来说，这是一次必须立即执行的更新。

漏洞全景：10个CVE逐一解析

本次修复的10个漏洞覆盖了从XSS（跨站脚本）到权限提升、MFA绕过等多个攻击面。以下按严重程度从高到低逐一解析：

🔴 严重级别 — 权限提升

CVE-2026-48898 — com_users 批处理权限提升

这是本次最严重的漏洞。com_users 组件的批处理（batch）任务接口存在不当访问检查，低权限用户可以通过构造特定的批量操作请求，将自身或他人账户提升为超级管理员。由于 Joomla 的用户管理和权限系统是整站安全的基石，成功利用此漏洞的攻击者将获得站点的完全控制权。评级：严重（Critical）。

CVE-2026-48899 — Sample Data 插件未授权操作

与 sample data 安装相关的插件存在访问控制不当，未授权用户可执行与示例数据安装相关的特权操作。虽然 sample data 插件在生产环境中通常会被禁用，但如果被遗忘启用，攻击者可能通过此漏洞植入后门。评级：高危（High）。

CVE-2026-48904 — com_users Web 服务权限提升

com_users 的 Web 服务端点存在不当访问检查，攻击者可以通过组编辑接口提升权限。此漏洞特别值得关注，因为它利用了 Joomla 的 REST API 接口，这意味着攻击不需要传统的表单提交，可以通过自动化脚本批量利用。评级：高危（High）。

🟠 高危级别 — MFA绕过

CVE-2026-48896 和 CVE-2026-48897 — 双因素认证绕过

两个独立的漏洞分别利用了会话状态重置不当和状态检查不足的问题，允许攻击者在特定条件下绕过 MFA 验证。这意味着即使管理员为站点启用了双因素认证这一重要的安全防护措施，攻击者仍有可能绕过这道防线。对于启用了 MFA 的站点来说，这个绕过漏洞将 MFA 防护效果直接降为零。

🟡 中危级别 — XSS漏洞

CVE-2026-48905 — cleanAttributes XSS

Framework 层的 cleanAttributes 过滤器对输入数据的过滤不够严格，导致跨站脚本攻击（XSS）向量。攻击者可以注入恶意脚本，在管理员或其他用户访问特定页面时执行。

CVE-2026-48903 — checkAttribute XSS

checkAttribute 过滤器方法同样存在内容过滤不充分的问题，影响范围涉及多个组件。这意味着这不是单一入口的攻击面，而是框架层防御机制的失效。

🟢 低危级别

CVE-2026-48902 — 混合内容（降级加密）：密码和用户名重置功能在未强制 SSL 的环境下生成明文 HTTP 链接。在 HTTPS 站点上，这可能导致重置链接以不安全的方式传输。

CVE-2026-48901 — 缓存键构造不当：InputFilter::getInstance() 在实例缓存键中遗漏了安全敏感参数，可能导致缓存污染。

CVE-2026-48900 — 调度任务类型修改：低权限用户可编辑现有调度任务的类型（com_scheduler），可能导致计划任务被恶意篡改。

技术分析：为什么 com_users 漏洞如此危险？

从技术角度看，CVE-2026-48898 的核心问题在于 权限校验的不完整性。Joomla 的 com_users 组件在处理批量操作（batch processing）时，对于批量移动用户到其他用户组这一操作，缺少充分的权限验证。

在正常流程中，修改用户组需要当前用户具备 core.admin 或相当的管理权限。但在批量处理路径中，这一检查被绕过了——控制器在接收到批量请求后直接执行了组变更，而未重新验证调用者的权限上下文。

对于开发者而言，这是一个教科书式的教训：永远不要假设前端控制器已经完成了所有权限检查，在模型层执行实际数据操作前必须再次验证。Joomla 框架的 MVC 架构在控制器和模型之间提供了权限检查点，但本次漏洞正是这些检查点在某些路径上被遗漏所致。

另一个值得注意的安全趋势是 MFA 绕过漏洞（CVE-2026-48896/48897）的频繁出现。随着越来越多的站点启用双因素认证，攻击者的关注点也从破解密码转向了寻找 MFA 实现中的逻辑漏洞。Joomla 的 MFA 系统在会话状态管理上存在多个可被利用的窗口，这对其他 CMS 系统也是一个值得警惕的信号。

对中文用户的影响与行动建议

对于使用 Joomla 的中国站点管理员，以下是具体的行动指南：

1. 立即更新（最高优先级）

无论你使用的是 Joomla 5.x 还是 6.x，都应立即升级到对应的补丁版本：

• Joomla 5.x 用户 → 升级到 5.4.6
• Joomla 6.x 用户 → 升级到 6.1.1

更新方式：登录后台 → 组件 → Joomla! 更新 → 检查更新 → 安装更新。如果自动更新因服务器环境限制无法完成，可以从 joomla.org 下载更新包手动上传覆盖。

2. 更新后检查清单

• 检查用户管理 → 确认没有异常的新增超级管理员账户
• 检查 com_scheduler 的计划任务配置 → 确认没有被篡改
• 如果使用了 Joomla REST API → 检查 Web 服务用户权限配置
• 禁用生产环境中不需要的 sample data 插件
• 确认站点强制使用 HTTPS，避免重置链接以明文传输

3. 长期安全策略

• 开启 Joomla 自动更新通知（插件 → 系统 - Joomla! 更新通知）
• 定期审查用户权限，遵循最小权限原则
• 如果站点面向公网，强烈建议配合使用 WAF（如雷池 WAF、Cloudflare 等）作为额外防护层
• 关注 Joomla 安全公告 RSS 订阅（developer.joomla.org/security-centre.html）

总结

Joomla 6.1.1/5.4.6 是一次集中式的安全补丁更新，一次性修复了10个涵盖多个攻击面的漏洞。其中 com_users 权限提升漏洞的严重性不容低估——一旦被利用，攻击者可在数分钟内完全控制你的站点。

Joomla 项目的安全团队（JSST）在发现和修复这些漏洞方面展现了出色的响应速度，从漏洞发现到补丁发布周期之短值得肯定。作为站点管理员，我们能做的最好回应就是：及时更新，做好安全加固。

安全没有终点，只有持续的警惕和及时的响应。

---

本文由 Joomlachina.cn 自动策展发布 | 信息来源：Joomla 安全中心 (developer.joomla.org/security-centre.html) | 发布时间：2026年5月26日