米国土安全保障省サイバーセキュリティ・インフラセキュリティ庁(CISA)は、Joomla用エクステンションであるiCagendaとBalbooa Formsの脆弱性が攻撃者に悪用され、任意のファイルアップロードを通じてリモートコード実行(RCE)が行われていると警告しています。
同庁はこれらの脆弱性を最優先事項に分類し、連邦政府機関に対して3日以内に利用可能なセキュリティアップデートおよび/または緩和策を適用するよう命じています。期限は本日となっています。
1つ目の脆弱性はCVE-2026-48939として追跡されており、イベントの登録・スケジュール管理やカレンダー作成に使われるiCagendaエクステンションに影響する任意のファイルアップロードの脆弱性です。
攻撃者はこの脆弱性を悪用し、PHPスクリプトを含む任意のファイルをWebサーバーにアップロードできます。これによりデータ窃取、Webシェルの設置、そしてリモートコード実行(RCE)によるWebサイトの完全な乗っ取りにつながる可能性があります。
CISAは既知の悪用された脆弱性(KEV)カタログのエントリで、「iCagendaには危険な種類のファイルの無制限アップロードを許す脆弱性が存在し、ファイル添付機能で任意のファイルのアップロードが可能になっている。最終的にPHPコードのアップロードと実行につながる」と警告しています。
KEVに追加された2つ目の脆弱性はCVE-2026-56291で、Joomla用エクステンションBalbooa Formsにおける任意のファイルアップロードの問題です。
Balbooa Formsは、Joomlaサイトでお問い合わせフォームを作成するためのドラッグ&ドロップ式フォームビルダーで、ファイルアップロード機能に対応しています。
CISAによると、この機能を悪用して実行可能ファイルなどの危険な種類のファイルをアップロードすることが可能で、RCEおよびWebサイトの完全な乗っ取りにつながるとしています。
Webサイト管理・セキュリティプラットフォームのmySites.guruによると、両方の脆弱性はベンダーがパッチをリリースする前に自動化された攻撃で悪用されていました。
iCagendaについては、CVE-2026-48939に対処したバージョン4.0.8のリリースからわずか数時間前に攻撃が確認されたということです。
同社によると、Balbooa Formsの脆弱性CVE-2026-56291はゼロデイとして悪用されており、7月8日から攻撃に利用されていました。これはベンダーが修正版をリリースする1日前のことです。
Joomlaサイトを管理するWebサイト管理者は、iCagendaやBalbooa Formsが導入されていないか確認し、必要に応じて自社の資産を保護するための対策を講じるべきです。
これらの脆弱性は、6月15日から16日にかけてリリースされたiCagendaバージョン4.0.8および3.9.15、そして7月9日にリリースされたBalbooa Formsバージョン2.4.1で修正されています。
攻撃者に先んじて、あらゆる防御層をテストする
セキュリティチームが記録できている攻撃成功例は54%にとどまり、アラートが上がるのはわずか14%です。残りは環境内を検知されずに通過しています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)がSIEMとEDRのルールをどのようにテストし、脅威が検知をすり抜けるのを防ぐかを解説しています。