米サイバーセキュリティ・インフラセキュリティ庁 (CISA) は、Joomla 用 WYSIWYG エディタ拡張 JCE (Joomla Content Editor) のアクセス制御不備脆弱性 CVE-2026-48907 を Known Exploited Vulnerabilities (KEV) カタログに追加し、連邦民間行政機関 (FCEB) に対し 6 月 19 日 (金) までのパッチ適用を命じました。すでに in the wild で自動化された大量攻撃が確認されています。
主なポイント
- CVSS 3.1 で最大値の 10.0、攻撃複雑度低・認証不要で PHP コードのアップロードと実行が可能
- 影響範囲は JCE 1.0.0 から 2.9.99.4。修正版 2.9.99.5 は 6 月 3 日にリリース済み
- 攻撃者は未認証で新規エディタプロファイルを作成し、PHP ファイルをアップロードして任意コード実行に至る
- 第三者製の Joomla 拡張が KEV に掲載されるのは異例で、影響範囲の広さを示す
- CMS 自体ではなく特定拡張の脆弱性のため、Joomla 利用者は JCE のバージョンを確認し早急にアップデートを行うべき
出典: CISA orders feds to patch max severity Joomla plugin flaw by Friday