何が起きたか
CISAは2026年6月16日に、CVE-2026-48907 (CVSS 10.0) を既知の悪用される脆弱性カタログに追加し、確認されたアクティブな悪用を引用しました。この欠陥はJoomlaのJCEエディタ拡張機能のアクセス制御不適切な脆弱性であり、認証なしのユーザーがエディタプロファイルを作成し、プロファイルインポート機能を悪用してPHPコードをアップロードおよび実行でき、Webサーバー上の認証なしRCEをもたらします。
なぜ重要か
JCEは一般的なCMSコンポーネントでありAI固有のインフラストラクチャではありませんが、KEV適用範囲ルールに従って含まれています (CISA KEV追加はTier A運用シグナルです)。Joomlaサイトはますますチャットボットプラグイン、AI コンテンツ生成ツール、AI搭載検索統合をホストしており、Joomlaホスト上のWebシェルはCMS設定に格納されたAI APIキーと認証情報を危険にさらす可能性があります。
攻撃経路
認証なしの攻撃者がJCEプロファイル作成エンドポイント経由で新しいエディタプロファイルを作成し (アクセス制御不適切により ログインが不要)、その後プロファイルインポート機能を悪用してサーバー上で任意のPHPコードをアップロードおよび実行 — 完全なWebシェルアクセスをもたらします。
影響を受けるシステム
Widget Factory Joomla Content Editor (JCE) — Joomla CMSで最も広くインストールされているエディタ拡張機能
緩和策
ベンダー勧告に従い、JCEセキュリティパッチを直ちに適用してください。CISA連邦期限日: 2026年6月19日。参照: https://www.joomlacontenteditor.net/news/jce-security-update-and-a-free-patch-for-older-sites