security
iCagenda、Balbooa Formsの両拡張機能に存在する欠陥は、世界中で100万サイト以上を支えるオープンソースCMSに影響を及ぼす恐れがあります
CISAは、Joomlaの拡張機能に存在する重大な2件の欠陥を「既知の悪用済み脆弱性(KEV)」カタログに追加しました。攻撃者が両方の欠陥を悪用し、脆弱なウェブサイトに悪意のあるコードをアップロードしていたことが確認されたためです。
今回新たにリストに加えられた欠陥は、オープンソースのJoomlaコンテンツ管理システム向けのイベントカレンダー拡張機能「iCagenda」と、問い合わせ・登録・アンケート・ファイルアップロードの受け付けなどに広く使われているフォームビルダー「Balbooa Forms」に影響します。
Joomlaは全ウェブサイトの約1.2パーセント、世界中でおよそ100万サイトを支えており、コアプラットフォーム以外の多くの機能は独立したサードパーティ企業が開発する拡張機能によって支えられています。
両脆弱性ともCVSSスコアは満点の10を記録しており、攻撃者が任意のファイルをアップロードできてしまいます。アップロードされたファイルは最終的にサーバー上でPHPコードとして実行される可能性があり、対象サイトを乗っ取られてしまう恐れがあります。
CISAは今週、実際の悪用を確認したうえで、iCagendaに影響するCVE-2026-48939と、Balbooa Formsに影響するCVE-2026-56291をKEVカタログに追加しました。米連邦文民機関は同機関の脆弱性管理指令に基づき、これらの欠陥へのパッチ適用を義務付けられていますが、両拡張機能とも一般公開向けのウェブサイトで利用されていることから、この警告はJoomlaコミュニティ全体にとっても等しく重要な意味を持ちます。
iCagendaの欠陥により、攻撃者は同拡張機能の添付ファイル機能を通じて悪意のあるPHPファイルをアップロードできてしまい、本来単純なファイルアップロード機能に過ぎないはずのものがリモートコード実行の入り口になってしまう、とCISAは説明しています。
セキュリティ企業mySites.guruによると、修正版バージョン4.0.8および3.9.15が6月中旬にリリースされるわずか数時間前の時点で、攻撃者がすでにiCagendaの欠陥を悪用していたことが確認されたといいます。今回の攻撃は、サイト訪問者がカレンダーにイベントを投稿できる「Submit an Event(イベントを投稿)」機能を標的にしていました。研究者らは、脆弱なインストール環境を狙って自動スキャンが行われたのち、侵害されたサーバーにウェブシェルが設置される様子を確認したと述べています。
Balbooa Formsの欠陥もほぼ同様の構図です。研究者らによると、同拡張機能のフロントエンド側アップロードエンドポイントは、認証やCSRF対策、ファイル種別に対する実質的なチェックを一切行わないまま、匿名の訪問者からのファイルを受け付けてしまう状態だったといいます。これにより、公開ディレクトリにPHPファイルをアップロードし、リモートから実行することが可能になっていました。
研究者らは、すでに攻撃を受けていた顧客のJoomlaサイトに関する悪用報告を調査する中で、この欠陥を発見したと述べています。Balbooaは7月9日にバージョン2.4.1で対応しましたが、研究者らは、まだ更新を適用していないサイトに対する悪用が依然として続いていると警告しています。
一つ救いがあるとすれば、修正版がすでに提供されているという点です。一方でマイナス材料があるとすれば、攻撃者はリリースノートの公開など待ってはくれなかったという点でしょう。 ®