何が起きたか
CISAは2026年6月16日、CVE-2026-48907 (CVSS 10.0)を既知の悪用された脆弱性カタログに追加し、アクティブな悪用が確認されたことを理由として挙げた。この脆弱性はJoomla向けJCEエディタ拡張機能における不適切なアクセス制御の問題であり、認証されていないユーザーがエディタプロフィールを作成し、プロフィールインポート機能を悪用してPHPコードをアップロード及び実行することを許可し、Webサーバ上で認証なしRCEをもたらす。
なぜ重要か
JCEは一般的なCMSコンポーネントであってAI専用インフラではないが、KEVカバレッジルールに基づき含まれている (CISA KEV追加はTier Aオペレーショナルシグナル)。JoomlaサイトはますますAIチャットボットプラグイン、AI コンテンツ生成ツール、及びAI搭載検索統合をホストしており、Joomlaホスト上のWebシェルはCMS設定に保存されているAI APIキーおよび認証情報を危険にさらす可能性がある。
攻撃経路
認証されていない攻撃者がJCEプロフィール作成エンドポイント経由で新しいエディタプロフィールを作成し (不適切なアクセス制御により登録不要)、その後プロフィールインポート機能を悪用してサーバ上で任意のPHPコードをアップロード及び実行し、完全なWebシェルアクセスをもたらす。
影響を受けるシステム
Widget Factory Joomla Content Editor (JCE) — Joomla CMS向けの最も広くインストールされているエディタ拡張機能
緩和策
ベンダ勧告に従いJCEセキュリティパッチを直ちに適用する。CISA連邦期限: 2026年6月19日。参照: https://www.joomlacontenteditor.net/news/jce-security-update-and-a-free-patch-for-older-sites