CISAが積極的に悪用されているiCagendaおよびBalbooa FormsのRCE脆弱性をKEVに追加

米サイバーセキュリティ・インフラセキュリティ庁(CISA)は2026年7月10日、実際の悪用が確認されたとして、既知の悪用された脆弱性(KEV)カタログに2件の脆弱性を新たに追加しました。

いずれの脆弱性も広く使われているWordPressプラグインに影響するもので、根本原因は共通しています。それは「無制限のファイルアップロード」という脆弱性クラスで、これはしばしばリモートコード実行(RCE)を可能にします

CVE-2026-48939は、WordPress向けの人気イベント管理プラグインであるiCagendaに影響します。この脆弱性は「危険な種類のファイルの無制限アップロード」に分類されるもので、攻撃者はファイルタイプの検証を回避し、悪意のあるスクリプト(通常はPHP製のウェブシェル)をサーバーに直接アップロードできてしまいます。

アップロードされたファイルはリモートから実行可能となり、攻撃者は侵害したホストを完全に制御できるようになります。

CVE-2026-56291は、多数のWordPressサイトで問い合わせフォームやアンケート、データ収集用として使われているフォームビルダープラグイン、Balbooa Formsに影響します。

iCagendaの脆弱性と同様、この脆弱性もファイルアップロードの制限が不十分であることに起因しており、脅威アクターが実行可能なペイロードを仕込むことでRCEにつながります。

両脆弱性とも、WordPressプラグインのエコシステムでおなじみの悪用パターンをたどっています。攻撃者は本来正当な用途(イベントの添付ファイルやフォーム送信など)のために用意されたアップロード機能を悪用し、悪意のあるコードを本番サーバーに密輸するのです。

無制限のファイルアップロード脆弱性は、多くの場合サーバーの完全な侵害に直結するため、ウェブアプリケーションに対して最も悪用されている攻撃ベクトルの一つであり続けています。

CISAは、ウェブシェルが設置されると攻撃者は永続的なアクセスを獲得し、横方向への移動やデータの窃取、あるいはフィッシングやマルウェア配布といった、さらなる悪意あるキャンペーンへの侵害サイトの悪用が可能になると指摘しています。

これらのCVEがKEVカタログに追加されたことで、拘束的運用指令(BOD)26-04「リスクに基づくセキュリティ更新の優先順位付け」に基づく義務が発生します。

この指令は、連邦文民行政機関(FCEB)に対し、公開されている資産上でKEVに掲載された脆弱性の修復を優先するよう義務付けるものです。特に、悪用後に攻撃者へ完全な制御を許してしまうような脆弱性を優先し、リスクの低い問題は後回しにすることが求められます。

BOD 26-04はまた、各機関に対し、パッチ適用前に敵対者が対象システムを侵害していなかったかどうかを検証するよう義務付けています。これは、組織が事前の侵害の有無を確認しないままパッチを適用してしまうという抜け穴を塞ぐものです。

BOD 26-04が法的拘束力を持つのはFCEB機関のみですが、CISAはあらゆる業種の組織に対し、KEVカタログへの掲載を緊急の優先事項として扱うよう強く呼びかけています。iCagendaまたはBalbooa Formsを運用しているサイト管理者は、直ちに以下の対応を取るべきです。

翻訳元: https://cyberpress.org/cisa-exploited-icagenda-balbooa-forms/

ソース: cyberpress.org