## https://sploitus.com/exploit?id=02A60410-07D8-5EBE-8E81-621871683186
COM_JCE_VANDA - CVE-2026-48907
Exploit de upload de arquivo sem autenticação no componente JCE do Joomla. Porque aparentemente aplicar patch é opcional.
## Descrição
Explora `/index.php?option=com_jce&task=profiles.import` para fazer upload de um payload PHP disfarçado de perfil XML. Sem autenticação, sem captcha, sem rate limiting. Joomla no seu melhor.
- **CVE**: CVE-2026-48907
- **CVSS**: 9.8 (Crítico) — porque deixar 10.0 seria estragar a brincadeira
- **Vetor**: Rede, não autenticado
- **Impacto**: RCE + escrita arbitrária de arquivos
## Requisitos
- Python 3.6+
- Biblioteca `requests`
```bash
pip install -r requirements.txt
Uso
bash
python3 bot.py [--verbose]
Formato do sites.txt — um alvo por linha:
https://alvo1.com
http://alvo2.com
alvo3.com
Se não tiver esquema (http://), o script assume HTTP. Pode agradecer aos sysadmins ruins por isso.
O que o script faz
Extração do CSRF token — varre a homepage do Joomla atrás do token anti-CSRF. Sim, eles têm um. Não, não adianta nada.
Upload do payload — envia um arquivo .xml.php com para /index.php?option=com_jce. Se o servidor executar, a resposta é 3105.
Verificação — requisita /tmp/{arquivo}.xml.php e confere se a matemática funcionou.
Marca d'água — escreve vanda.txt com prova de presença em /images/, /tmp/ e algumas variações de path traversal.
--verbose
Mostra os CSRF tokens e trechos das respostas. Use quando algo quebrar. Ou quando estiver paranóico. Ambos são válidos.
Aviso
Use isso apenas em sistemas que você possui ou tem autorização explícita por escrito para testar. Se você derrubar um banco de produção porque apontou isso para o IP errado, o problema é seu. Eu sou só código.
Licença
MIT — faça o que quiser, não me culpe se o Joomla do seu cliente está sem patch desde 2023.