脅威アクターが、コード実行および権限昇格を目的としてJoomlaとLiteSpeed cPanelプラグインの脆弱性を標的にしています。
CVE-2026-48907として追跡されているこの最初の脆弱性は、JoomlaのJoomla Content Editor(JCE)に影響するものであり、認証されていない攻撃者がエディタープロファイルをアップロードできる不適切なアクセスの問題として説明されています。
攻撃者はこの欠陥を悪用してサーバーに任意のファイルをアップロードし、任意のPHPコードを実行しています。
JCE Proのバージョン2.9.99.5より前のすべてのバージョンが影響を受けます。このセキュリティ上の欠陥は6月3日に修正され、6月6日にリリースされたバージョン2.9.99.6ではさらなる保護機能が追加されました。
週末にかけて、JoomlaはユーザーにできるだけO早く最新バージョンへのアップデートを促し、CVE-2026-48907が実際の攻撃で悪用されていることを警告しました。
「この脆弱性は積極的に悪用されており、機能するエクスプロイトコードが公開され、攻撃は自動化されています。そのため、パブリック登録のないサイトも安全ではありません」と、Joomlaは警告しています。
また、サイト管理者が侵害の可能性を調査できるよう、侵害の痕跡(IoC)も提供しています。
「更新によって侵入口は閉じられますが、すでに侵害されたサイトのクリーンアップは行われません。更新前に攻撃を受けていた場合、更新によって攻撃者が残したものは削除されません」とJoomlaは述べています。
LiteSpeedのcPanel向けユーザーエンドプラグインに、UNIXシンボリックリンク(symlink)追跡の脆弱性であるCVE-2026-54420が発見されました。
シンボリックリンクの不適切な処理により、FTPまたはウェブシェルのアクセス権を持つユーザーが、CloudLinux/CageFSを実行している共有ホスティングサーバー上でroot権限に昇格できる状態でした。
このセキュリティ上の欠陥は、6月1日にリリースされたバージョン2.4.8より前のすべてのユーザーエンドcPanelプラグインに影響しており、5月から実際の攻撃で悪用されています。
LiteSpeedのユーザーは直ちにアップデートを行い、メンテナーが提供するコマンドを使用してサーバーが侵害されていないかどうかを確認することが推奨されています。
今週、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)はLiteSpeedとJoomlaの脆弱性を既知の悪用された脆弱性(KEV)カタログに追加し、連邦機関に対してそれぞれ6月18日と6月19日までにパッチを適用するよう求めました。
CISAのBOD 26-04によると、即時パッチ適用が必要なセキュリティ上の弱点は連邦機関にとって最大のリスクをもたらします。これらの脆弱性は、資産の乗っ取りにつながる可能性のある自動化された攻撃に悪用されるおそれがあるためです。
翻訳元: https://www.securityweek.com/joomla-litespeed-vulnerabilities-exploited-in-attacks/
