Joomlaの重大な拡張機能の脆弱性、実際に悪用される

Joomlaウェブサイトへの差し迫った脅威

JoomlaのiCagendaおよびBalbooa Forms拡張機能に存在する2件の重大な脆弱性が、実際の攻撃で悪用されています。しかも、開発者がパッチを公開する前に、サイバー犯罪者はすでに攻撃を開始していました。両方の欠陥は、悪意あるPHPファイルを容易にアップロードすることを攻撃者に許してしまいます。その結果、ハッカーはユーザー認証を一切経ることなく、サーバー上で任意のコードを実行できてしまいます。米サイバーセキュリティ・インフラセキュリティ庁(CISA)は既知の悪用済み脆弱性カタログに2件の脆弱性を追加し、CVE-2026-48939CVE-2026-56291を特に取り上げました。注目すべきは、いずれの欠陥も深刻度評価が最大値の10点満点中10であることです。

iCagendaの脆弱性の詳細

1つ目の欠陥であるCVE-2026-48939は、カレンダー拡張機能のiCagendaに深刻な影響を及ぼします。具体的には、危険は「Suggest Event(イベント提案)」フォームに存在します。この機能は通常、訪問者が新しいイベントを投稿できるようにするためのものです。しかし、添付ファイルの仕組みがアップロードされたファイルを十分に検査していませんでした。そのため、攻撃者は不正なPHPスクリプトを公開ディレクトリに簡単に仕込み、実行することができます。

実際に観測された自動攻撃

mySites.guruの専門家は、2026年6月15日という早い段階で、iCagendaの導入環境に対する自動攻撃を検知しました。「icagenda-batch/1.0」とだけ識別されるスキャナーが、系統立ててセキュリティトークンを取得していました。その後、投稿フォームを通じて有害なペイロードを送信しました。最後に、このプログラムは予測可能なパス上に新たに作成されたコマンドシェルにアクセスしました。

iCagendaユーザー向けの対策

この脆弱性は、iCagendaバージョン4.0.7以前のリリースに影響します。さらに、3.2.1から3.9.14までの旧バージョン系統にも影響を及ぼします。幸い、開発者はバージョン4.0.8および3.9.15でこの問題を解消しています。サイト管理者は直ちに「images/icagenda/frontend/attachments/」ディレクトリを確認する必要があります。最終的には、そこに見つかった身に覚えのないPHPファイルをすべて削除しなければなりません。

Balbooa Formsの悪用手口を分析

2つ目の脆弱性であるCVE-2026-56291は、Balbooa Formsバージョン2.4.0以前に存在します。この拡張機能は、これまで認証を受けていない訪問者からの添付ファイルもすべて受け付けていました。しかも、セキュリティトークンとファイル種別の検証を完全に迂回してしまう仕組みでした。その結果、悪意ある攻撃者は公開フォルダにPHPスクリプトを自由にアップロードできました。こうして、攻撃者はホストサーバー上で任意のコマンドを直接実行していたのです。

検知と対応

mySites.guruは、あるクライアントのウェブサイトが侵害されたことをきっかけに、2026年7月8日にこの問題を最初に発見しました。その後、開発者はBalbooa Formsバージョン2.4.1に包括的な修正を組み込みました。ウェブマスターは直ちに「images/baforms/uploads」フォルダを徹底的に調査する必要があります。さらに、Joomlaのユーザー一覧と、最近変更されたPHPファイルも確認するべきです。とりわけ、管理者権限を持つ見覚えのないアカウントには特に注意を払ってください。

早急な対応の呼びかけ

米国の連邦政府機関は、2026年7月13日までにこれらの更新を適用しなければなりません。同様に、Joomlaサイトを運営する民間の管理者も、パッチ適用の予定を前倒しすべきです。これらの更新を先延ばしにすることは、計り知れないリスクをもたらします。何しろ、脅威アクターはすでに両方の脆弱性を実際のキャンペーンで利用しているのですから。

翻訳元: https://meterpreter.org/joomla-extension-vulnerabilities/

ソース: meterpreter.org