[nvd.nist.gov]🔒 セキュリティ★★★★★
Joomla JCE拡張に未認証PHPコード実行の脆弱性 CVE-2026-48907
編集部まとめ
- CVE-2026-48907:JCE拡張で未認証ユーザーがPHPコードを実行可能
- CVSS 4.0ベクターAV:N/AC:L/PR:N/UI:N・CISA KEVに掲載済み
- JCE公式が旧バージョン向け無償パッチを含むセキュリティ更新を公開
Joomla用JCEエディタ拡張にアクセス制御不備の脆弱性(CVE-2026-48907)が確認された。未認証ユーザーが新しいエディタプロファイルを作成できる欠陥を悪用し、PHPコードのアップロードと実行が可能になる。CVSS 4.0ベクターはAV:N/AC:L/PR:N/UI:Nと攻撃条件が極めて低く、機密性・完全性・可用性すべてに高影響と評価された。CISAがKEVリストに追加しており、JCE公式はセキュリティアップデートと旧バージョン向け無償パッチを公開済みだ。
編集部の影響度コメント
JCEエディタをJoomlaサイトに組み込んでいるチームは、公式の無償パッチまたは最新版への更新を即日実施し、サーバ上にアップロードされた不審なPHPファイルの有無をログで確認すること。CISAのKEV掲載は実際の悪用が確認された証拠であり、対応を後回しにするとサーバ完全制御を奪われる可能性がある。