概要

米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、JoomlaのContent Editor(JCE)拡張機能に存在する脆弱性CVE-2026-48907(CVSSスコア10.0)を既知の悪用済み脆弱性カタログ(KEV)に追加した。この脆弱性は不適切なアクセス制御に起因し、未認証のユーザーが悪意のあるPHPコードをサーバー上にアップロード・実行することを可能にする最大深刻度の欠陥だ。CISAはすべての連邦政府機関(FCEB)に対し、2026年6月19日までに修正パッチを適用するよう義務付けている。

技術的な詳細

Widget Factory社が開発するJCE拡張機能のバージョン1.0.0から2.9.99.4までが対象となる。攻撃者は「index.php?option=com_jce&task=profiles.import」へのリクエストを通じて不正なエディタープロファイルをインポートし、Webシェルを展開してサーバーへの永続的なバックドアを確立する。既にパブリックな悪用コードが公開されており、攻撃は自動化されているため、被害が広がるリスクが高い。修正版はバージョン2.9.99.5として2026年6月3日にリリース済みだ。

対応と注意事項

Joomlaは、更新を適用しても「すでに侵害されたサイトはクリーンアップされない」と警告している。Joomlaサイトの管理者はJCEを最新版(2.9.99.5以降)へアップデートするとともに、アクセスログを精査して不審なエディタープロファイルのインポートリクエストがなかったか確認することが推奨される。既に侵害を受けている場合はサーバー全体のフォレンジック調査が必要となる。公開されているエクスプロイトコードにより攻撃の自動化が進んでいることから、パッチ適用は一刻を争う対応が求められる。