2026年5月26日，Joomla项目同时发布了 5.4.6 和 6.1.1 两个安全修复版本。这是一次不同寻常的更新——一次性修复了多达10个安全漏洞，其中包含一个严重级别的权限提升漏洞和两个MFA多因素认证绕过漏洞。更引人注目的是，其中一个MFA绕过漏洞（CVE-2026-48896）是由安全公司 Doyensec 借助 Anthropic 的 Claude 大语言模型辅助发现的。这标志着AI正式进入了Joomla安全漏洞挖掘的主战场，也预示着未来安全更新的频率和深度都将进入新阶段。

十个漏洞全貌：从严重到低危

本次安全更新涵盖了广泛的攻击面，我将其按危险程度分为三个梯队：

第一梯队：权限提升（最危险）

CVE-2026-48898 — com_users 批量操作权限提升（严重）：这是本次更新中最危险的漏洞。攻击者可利用 com_users 组件的批量任务接口，在未通过权限检查的情况下将低权限账户提升至管理员组，直接接管整个站点。该漏洞影响 Joomla 4.0.0 到 5.4.5、6.0.0 到 6.1.0 的所有版本。

CVE-2026-48904 — com_users Web 服务端点权限提升：通过API端点进行用户组编辑时的访问控制缺陷。对于启用了Web Services且API端口暴露在公网的站点，这个漏洞的攻击面甚至比批量操作更大——因为很多站长对 /administrator 路径有额外保护，却忽略了API路由的安全。

第二梯队：认证绕过

CVE-2026-48896 — MFA 多因素认证绕过（状态检查不足）：Claude AI辅助发现的漏洞。在MFA验证流程中，缺少充分的状态校验逻辑，使攻击者能够绕过二次验证直接登录。由于此前所有 4.0.0+ 版本的MFA保护均不可靠，这意味着如果你的站点依赖Joomla内置MFA进行防护，在升级到 5.4.6/6.1.1 之前，MFA形同虚设。

CVE-2026-48897 — MFA 多因素认证绕过（会话状态错误重置）：另一个MFA绕过路径，涉及会话状态的不当重置逻辑。

第三梯队：XSS与其他问题

CVE-2026-48903 / CVE-2026-48905：两个存在于 joomla/filter 框架中的XSS漏洞，分别涉及 checkAttribute 和 cleanAttributes 方法。令人惊讶的是，这两个漏洞从 Joomla 3.0.0 开始就存在，潜伏了超过十年。

此外还有示例数据插件访问控制错误、com_scheduler ACL绕过、InputFilter缓存键构造错误、密码重置链接HTTP降级等低危问题。

AI 开始挖洞：一场范式转变

这次更新最让我感到震撼的，不是漏洞数量本身，而是漏洞被发现的方式。

在Joomla安全中心的致谢名单中，CVE-2026-48896的发现者一栏写着："Doyensec (with Claude/Anthropic Research)"。这意味着 Anthropic 的 Claude 大语言模型直接参与了漏洞挖掘，并且成功找到了一个绕过MFA的真实可利用漏洞。

更值得注意的是，在本次安全更新发布仅一天后（5月27日），Joomla GitHub 仓库就出现了针对 symfony/yaml 库的三个新CVE的补丁：

• CVE-2026-45304 — YAML Parser递归别名扩展导致内存指数增长（类似XML "Billion Laughs"攻击）
• CVE-2026-45305 — Parser::cleanup() 正则表达式灾难性回溯（ReDoS）
• CVE-2026-45133 — 嵌套映射、序列无限递归导致栈耗尽

这三个漏洞存在于 symfony/yaml 2.0.0 到 8.0.11（最早可追溯到2011年），生命周期长达15年，却在同一天被集中披露。这绝非巧合——LLM可以在数秒内读完整个 symfony/yaml 代码库，推测出可能触发病态行为的输入模式，并编写模糊测试（fuzzing）验证攻击。

传统的安全审计需要资深专家花费数周时间逐行审查代码，而现在AI可以在几分钟内完成同样的工作。这意味着：漏洞发现的速率正在急剧上升，未来每个Joomla小版本修复的CVE数量可能会越来越多。对于站长而言，"等一等再升级"的策略正在变得越来越危险。

对中国 Joomla 用户的特别建议

作为常年服务中国 Joomla 用户的开发者，我想强调几点具体建议：

1. 立即升级，不要拖延

如果你还在运行 Joomla 4.x 或 5.x 版本，请立即规划升级路径。5.4.6 要求最低起点为 4.4.x；6.1.1 则需先升级到 5.4 再跳转至 6.x。不要试图直接从 4.x 跳到 6.x。

2. 升级后做安全审计

升级完成后，务必检查升级窗口期内是否有异常活动：查看批量用户操作日志、检查用户组变更记录、审计 API 请求日志。特别关注是否有新增的管理员账户或异常的API令牌。如果发现未授权的变更，立即回滚账户和组设置。

3. 重视MFA，但不要盲目信任

此次MFA绕过漏洞给所有站长敲响警钟：安全功能本身也可能存在漏洞。升级到最新版本是启用MFA的前提，但还需要配合IP白名单、登录尝试限制等纵深防御措施。

4. 拥抱AI安全工具

AI在发现漏洞，AI也能帮助我们防御。建议使用 mySites.guru 等批量站点监控工具，它们可以自动检测版本状态、推送安全更新通知。手工管理几十个站点的时代正在过去，自动化运维是唯一出路。

5. 关注中国本地化安全问题

对于中国站长，还需要额外注意：如果你的站点部署在阿里云、腾讯云等国内平台上，建议在云安全组层面额外配置 /administrator 路径的IP白名单，并在WAF中设置针对 com_users API端点的特殊规则。雷池WAF等国产安全方案对Joomla的攻击模式也有较好的识别能力。

结语

Joomla 5.4.6/6.1.1 不仅仅是一次常规的安全更新，它标志着Joomla安全防护进入了一个新时代——AI驱动的漏洞发现时代。Claude参与发现MFA绕过漏洞、symfony/yaml 15年老洞被LLM集体翻出，这些事件说明安全攻防的节奏正在被AI加速。

对站长来说，最务实的应对策略就是：保持系统更新、做好日志监控、拥抱自动化运维工具。在AI时代，"等一等"不再是选项——它已经成为一种风险。