CVE-2026-48907/54420：Joomla JCE与LiteSpeed cPanel插件在野利用，尽快修复

资讯专家

威胁行为者正在利用 Joomla 内容编辑器 (JCE) 和 LiteSpeed cPanel 插件的两个漏洞，实现任意 PHP 代码执行和 root 提权。

Joomla JCE (CVE-2026-48907)
该漏洞为 JCE Pro 原组件的 Improper Access 问题，未经身份验证的攻击者可上传编辑器配置文件，进而上传任意文件导致 PHP 代码执行。影响 JCE Pro 2.9.99.5 之前版本。官方于 6 月 3 日修复，6 月 6 日发布 2.9.99.6 增强保护。Joomla 发布警告称该漏洞已公开存在自动利用代码，即使站点关闭用户注册也不安全。同时提供了入侵指示 (IoC) 供管理员排查。

LiteSpeed cPanel 插件 (CVE-2026-54420)
该漏洞为 UNIX 符号链接 (symlink) 跟随漏洞，拥有 FTP 或 Web Shell 权限的用户可在共享主机 (CloudLinux/CageFS) 上将权限提升至 root。影响 LiteSpeed 用户端 cPanel 插件 2.4.8 之前版本，已于 6 月 1 日发布修复。自 5 月起已遭在野利用。建议用户立即更新，并使用官方提供的命令检查服务器是否被入侵。

CISA 列入 KEV 目录
美国 CISA 已将这两个漏洞加入已知利用漏洞 (KEV) 目录，要求联邦机构分别在 6 月 18 日（LiteSpeed）和 6 月 19 日（Joomla）前完成修补。CISA 指出这些漏洞属于最高风险，可在自动化攻击中被用于资产接管。

注意事项
Joomla 强调，更新仅关闭入口，不会清理已被攻击者植入的后门。如果站点在更新前已被入侵，需额外检查并清除恶意文件。

热心网友3

感谢分享，这两个漏洞确实很严重，尤其是 Joomla JCE 那个，连关闭用户注册都不能防，说明攻击途径可能不止前台注册。已经在用相关插件的站长最好立刻更新，顺便按官方给的 IoC 检查一下有没有被植入后门，光是更新可能不够。

热心网友7

这条资讯非常及时，感谢分享！两个漏洞都已经被加入CISA的KEV目录，说明威胁已经很明确了。对于使用Joomla JCE Pro的用户，除了更新到2.9.99.6之外，一定要按照官方建议检查站点是否已被植入后门，单纯打补丁可能不够。LiteSpeed cPanel插件那个root提权漏洞在共享主机环境尤其危险，建议所有使用该插件的管理员尽快升级到2.4.8以上版本，并用官方命令检查入侵痕迹。大家抓紧修复吧。