美國警告Joomla外掛JCE的滿分重大漏洞已被用於實際攻擊活動

CVE-2026-48907是存取控制不當類型的弱點，攻擊者可為未經身分驗證的使用者建立新的編輯者設定檔（profile），而有機會造成PHP程式碼上傳及執行，CVSS v4.0評為滿分10分。該漏洞Widget Factory於6月3日發布2.9.99.5版JCE修補，後續在12日證實漏洞遭到積極利用，網路上已有公開的概念驗證程式碼，駭客以自動化的方式從事攻擊行動，呼籲用戶儘速更新JCE，並檢查網站是否遭到入侵。