2026年7月7日,对Joomla用户而言是一个值得高度关注的安全日。这一天发生了两件大事:Joomla项目组发布了6.1.2和5.4.7紧急安全更新,修复了核心框架中的API权限提升漏洞;几乎同时,美国网络安全与基础设施安全局(CISA)将两个Page Builder扩展的远程代码执行漏洞列入了已知被利用漏洞目录(KEV)。本文将逐一解析这些漏洞的技术细节,并给出实操建议。

核心漏洞:CVE-2026-48904 — API用户组越权提升

本次Joomla 6.1.2的核心修复对象是CVE-2026-48904,这是一个位于 com_users 组件REST API端点中的访问控制缺陷。

问题的根源在于,API在处理用户组编辑请求时(如修改用户的所属用户组),没有对请求方的身份进行严格的权限校验。这意味着,一个未认证的攻击者可以构造一个HTTP POST或PATCH请求,直接发往Joomla的 /api/index.php 路径,将任意普通注册账户的用户组提升为Super User(超级管理员)。

这个漏洞的利用难度极低——不需要任何前置认证,不需要用户交互,攻击者只需要知道一个有效的用户ID即可。而Joomla的用户ID是自增整数,通过简单的枚举就能找到目标。

如果你的站点启用了Web Services - Users插件(用于提供REST API接口),那么你现在就处于暴露状态。好消息是,Joomla 6.1.2和5.4.7已经修复了这个问题。如果你暂时无法立即更新,可以采取临时缓解措施:在后台插件管理中找到"Web Services - Users"插件并将其禁用。

从技术角度看,这个漏洞的修复方案很直接——在处理用户组修改的API控制器中增加了对管理员权限的显式检查。这也提醒我们,API安全校验不能依赖"前端已经校验过了"的假设,服务端的每一个端点都必须独立验证权限。

同日CISA KEV追加:两大Page Builder被列入

就在Joomla官方发布安全更新的同一天,CISA在其已知被利用漏洞目录中新增了四个条目,其中两个直接关联Joomla生态:

  • CVE-2026-48908(CVSS 10.0):影响JoomShaper的SP Page Builder(版本6.6.1及以下)。漏洞类型为未授权任意文件上传,攻击入口是 asset.uploadCustomIcon 任务端点。攻击者可以上传PHP脚本从而获取服务器的完全控制权。修复版本为6.6.2。
  • CVE-2026-56290(CVSS 10.0):影响Joomlack的Page Builder CK(版本3.5.10及以下)。同样是未授权文件上传导致远程代码执行的漏洞。修复版本分别为3.6.0(6.x)、3.4.10(5.x)和3.1.1(4.x)。

两个漏洞都是最高危级别(CVSS 10.0),且CISA确认已经在野外被积极利用。CISA要求联邦机构在7月10日前完成修复。对我们中文用户来说,这个截止日期同样是紧迫的。

值得注意的是,SP Page Builder和Page Builder CK在国内都有相当数量的用户。SP Page Builder作为JoomShaper旗下的旗舰页面构建器,在国内很多建站公司中是标配工具。Page Builder CK虽然不是最知名的品牌,但在欧洲市场占有率不低,国内通过模板套装间接使用的用户也不少。

Joomla 6.1.2和5.4.7还修复了什么?

除了CVE-2026-48904这个核心漏洞外,6.1.2/5.4.7还包含了12项安全改进和一个bug修复包:

访问控制增强方面,加强了对媒体管理功能、隐私相关功能、自定义字段、联系人vCard下载、网站工作流和模块管理等多个模块的保护,确保只有授权用户能够访问。

XSS防护方面,修复了多因素认证设置、模板管理器、后台弹窗、扩展安装器、图片处理和语言自定义功能中的跨站脚本注入风险。

Bug修复方面,解决了更新安装失败的问题、改进了CSS兼容性避免第三方扩展异常CSS导致网站崩溃、修复了媒体字段的保存显示问题,并更新了TinyMCE编辑器和PHP/JavaScript核心依赖库。

对中文用户的建议

作为Joomla中文社区的维护者,我强烈建议所有Joomla用户立即采取以下行动:

第一步,立即更新核心。登录Joomla后台,进入"组件 > Joomla更新",点击"检查更新"并安装Joomla 6.1.2或5.4.7。更新包很小,安装通常不超过一分钟。

第二步,如果使用了SP Page Builder或Page Builder CK,立即升级到最新修复版本。SP Page Builder更新到6.6.2及以上,Page Builder CK根据你的Joomla版本选择对应分支。

第三步(关键),更新不等于安全。仅仅打补丁只能关闭已知入口,无法清除可能已经植入的webshell或恶意账户。你需要额外做三件事:

  • 检查用户管理中的超级用户列表,删除不明来源的管理员账户
  • 在 /images/、/media/、/tmp/、/cache/ 以及扩展资源目录中搜索可疑的PHP文件
  • 检查Web访问日志中是否有指向Page Builder端点或API路径的异常POST请求

第四步,即使你使用了Web应用防火墙(WAF),也不要掉以轻心。CVE-2026-48904走的是合法的API路径(/api/index.php),很多WAF的默认规则不会拦截这类看起来"正常"的API请求。

总结

2026年7月7日的这一系列安全事件,再次印证了一个老生常谈但永不过时的教训:CMS安全不是一次性的工作,而是持续的过程。

从CVE-2026-48907(JCE编辑器)到CVE-2026-48908(SP Page Builder)再到CVE-2026-56290(Page Builder CK),2026年上半年的Joomla安全事件有一个清晰的规律——攻击者正在系统性地瞄准Joomla生态中用户基数大、安装量高的第三方扩展。这些扩展往往更新不如核心CMS频繁,成为整个生态中最薄弱的环节。

对于中文社区的用户,我的建议很简单:今天下班前,花十分钟完成更新。十分钟的投入,可能避免一个周末的应急响应。

作者: 樱木花道

Joomla程序员,从J1.5到J6.x始终都在做Joomla相关开发定制工作,有超过10年行业经验,国内Joomla扩展开发商ZMAX团队的核心成员

作者网站:ZMAX程序人

评论 (0)

  • 最新在前
  • 最佳在前