Joomla CMSの人気のWYSIWYGエディタであるJoomla Content Editor(JCE)に、極めて深刻な脆弱性「CVE-2026-48907」が発見されました。米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、この脆弱性がすでに悪用されていることを確認し、至急のパッチ適用を呼びかけています。この脆弱性を悪用されると、認証されていない攻撃者がPHPコードをアップロード・実行し、ウェブサイトを完全に掌握する可能性があります。
脆弱性の概要と影響範囲
今回公表された「CVE-2026-48907」は、Widget Factoryが提供するJoomla Content Editor(JCE)のバージョン1.0.0から2.9.99.4に存在する「不適切なアクセス制御(Improper Access Control)」の脆弱性です。CVSSスコアは最高の10.0と評価されており、認証されていないユーザーが新しいエディタプロファイルを作成することで、悪意のあるPHPコードをアップロードし、サーバー上で実行できてしまうというものです。
この脆弱性が悪用されると、攻撃者はJoomlaサイトの完全な侵害が可能となります。CISAは、この脆弱性が積極的に悪用されていることを示す証拠があるとして、既知の悪用されている脆弱性(KEV)カタログに追加しました。
具体的な影響・攻撃シナリオ
攻撃者は、JCEエディタの不適切なアクセス制御を悪用し、認証なしでエディタプロファイルのインポート機能(`index.php?option=com_jce&task=profiles.import`)を利用します。これにより、悪意のあるPHPコードを含む新しいプロファイルをアップロードし、そのコードを実行させることが可能になります。成功すると、ウェブシェルがドロップされ、攻撃者はサーバーへの永続的なバックドアアクセス権を取得し、データベース情報の窃取、サイトコンテンツの改ざん、さらにはシステムコマンドの実行など、あらゆる操作を行えるようになります。
エンジニアが今すぐ取るべき対策
最も重要な対策は、Joomla Content Editor(JCE)を**バージョン2.9.99.5以降**に即座にアップデートすることです。このバージョンで脆弱性は修正されています。 アップデートが困難な場合は、以下の緩和策を検討してください。また、アップデート後もすでに侵害されている可能性を考慮し、サーバーログの監査と不審なファイルのチェックを行うべきです。
ウェブサーバーの構成(Apache `.htaccess` を利用する場合)で、JCEのプロファイルインポート機能への未認証アクセスをブロックするルールを追加することを推奨します。これにより、脆弱性のあるエンドポイントへの悪用を一時的に防ぐことができます。
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_URI} ^/index\.php$
RewriteCond %{QUERY_STRING} option=com_jce&task=profiles\.import [NC]
RewriteRule ^(.*)$ - [F,L]
</IfModule>
# 悪意のあるPHPファイルがアップロードされる可能性のあるディレクトリへの直接アクセスを禁止する例 (JCEのアップロードパスに応じて調整)
<Directory /path/to/your/joomla/images/stories>
<FilesMatch "\.(php|phtml|php3|php4|php5|php7|phps|cgi|pl|py|jsp|asp|aspx|sh|bash|exe|bin|dll|rb|perl)$">
Require all denied
</FilesMatch>
</Directory>
<Directory /path/to/your/joomla/media>
<FilesMatch "\.(php|phtml|php3|php4|php5|php7|phps|cgi|pl|py|jsp|asp|aspx|sh|bash|exe|bin|dll|rb|perl)$">
Require all denied
</FilesMatch>
</Directory>また、ウェブサーバーのアクセスログで、`index.php?option=com_jce&task=profiles.import`への未認証リクエストがないか、特に注意して監視してください。
📦