コンテンツマネジメントシステム(CMS)Joomla向けに広く利用されている編集支援ツール「Joomla Content Editor (JCE)」において、極めて深刻な脆弱性(CVE-2026-48907)が報告されました。この脆弱性はCVSSv4.0で最高値となる10.0(クリティカル)と評価されており、認証を必要とせずPHPコードのアップロードと実行を可能にするものです。米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、本脆弱性が既に悪用されていることを確認し、緊急の対応を呼びかけています。システム管理者および開発者の皆様は、直ちにJCEを最新版にアップデートしてください。
脆弱性の概要と影響範囲
CVE-2026-48907は、Joomla Content Editorのアクセス制御の不備に起因する脆弱性です。影響を受けるのはJCEのバージョン1.0.0から2.9.99.4までで、これにより、認証されていない攻撃者が新たなエディタプロファイルを作成し、悪意のあるPHPコードをサーバーにアップロードして実行することが可能となります。この問題は、Widget Factoryによってバージョン2.9.99.5(2026年6月3日リリース)で修正され、その後さらにセキュリティ対策が施されたバージョン2.9.99.6が2026年6月6日にリリースされています。
具体的な影響・攻撃シナリオ
本脆弱性が悪用された場合、攻撃者はJoomlaサイトのシステム上で任意のPHPコードを実行できるため、ウェブサイトの完全な乗っ取り、機密情報の窃取、改ざん、更にはサーバー全体の侵害につながる可能性があります。認証なしに悪用可能であるため、インターネットに公開されているJCEを使用しているJoomlaサイトは、広範な自動化された攻撃の対象となる危険性があります。CISAは、米国の行政機関に対して2026年6月19日までの対策実施を指示しており、その緊急性が非常に高いことを示しています。
エンジニアが今すぐ取るべき対策
最も重要な対策は、Joomla Content Editor(JCE)を直ちにバージョン2.9.99.5以降、推奨としては最新の2.9.99.6にアップデートすることです。アップデートが困難な場合でも、一時的な緩和策として、ウェブサーバーの設定でJCEのアップロードディレクトリからのPHPスクリプト実行を制限することを検討してください。これにより、攻撃者がPHPファイルをアップロードしても実行できないようにすることができます。
location ~* /(images|media|files|attachments|uploads)/.*\.(php|phtml|php3|php4|php5|php6|phps|cgi|pl|py|jsp|asp|aspx)$ {
deny all;
return 403;
}このNginx設定は、一般的なアップロードディレクトリからの特定のスクリプト実行を拒否します。同様の対策はApacheの.htaccessファイルでも可能です。ただし、これはあくまで一時的な緩和策であり、根本的な解決のためには公式パッチの適用が必須です。
📦