メインコンテンツへスキップ

対岸の火事ではない ― Joomla本体と主要拡張機能、相次ぐセキュリティ警報

| Alaudae.JP

この48時間のあいだに、Joomlaを取り巻く環境で重要な発表が立て続けにありました。単なる定期更新のお知らせではありません。Joomlaサイトの運営者として、今日中に確認すべき事案です。

まず2026年7月7日、Joomlaプロジェクトは Joomla 6.1.2 および 5.4.7 を公開しました。セキュリティ&バグ修正リリースで、セキュリティ修正は12件。内訳はXSS(クロスサイトスクリプティング)系が6件、アクセス制御不備が6件です。特に、com_media、com_privacy、com_fields といったWebサービスAPIエンドポイントのアクセス制御不備が複数含まれている点は見過ごせません。APIを外部に公開している運営者は、この更新を「至急」として扱ってください。

翌7月8日には、JCE Editor 2.9.99.9 が公開されました。今回の修正自体は、Cloudflare の OWASP マネージドルールや Imunify WAF が RPC リクエストを誤検知でブロックする問題などへの対応です。しかしJCEはここ数週間、認証なしのプロファイルアップロードやファイルブラウザのパストラバーサルといった深刻な穴を塞ぐ修正を矢継ぎ早に重ねてきました。JCE利用者にとって「最新版に追従する」ことは、もはや選択肢ではなく前提です。

それぞれ公式の発表があります。この記事を鵜呑みにせず、必ずご自分の目で確認し、対策してください。

  • Joomla 6.1.2 & 5.4.7: https://www.joomla.org/announcements/release-news/5955-joomla-6-1-2-5-4-7-security-bugfix-release.html
  • JCE Editor 更新履歴: https://www.joomlacontenteditor.net/support/changelog/editor

そして、より深刻な話があります。人気ページビルダーの SP Page Builder に、認証不要でファイルをアップロードされ、そのままリモートコード実行(RCE)に至る脆弱性 CVE-2026-48908 が確認されています。CVSS 4.0 で満点の10.0。6.6.1以前の全バージョンが対象で、修正版は6.6.2(6月14日公開)。しかも実際の攻撃が観測されており、侵入後は「@secure.local」ドメインのメールアドレスを持つ偽のスーパー管理者アカウントの作成や、/media/com_sppagebuilder/ 配下へのWebシェル設置が報告されています。恐ろしいのは、ページビルダーで作ったページを一枚も公開していなくても、コンポーネントを無効化していても、インストールされているだけで攻撃可能だったという点です。

同種の欠陥は Page Builder CK でも確認されています。CVE-2026-56290、認証不要アップロードからのRCE、こちらもCVSS 10.0、実攻撃あり、3.6.0で修正済みです。

どちらも、手口として目新しいものではありません。「認証チェックを省いたアップロード系エンドポイント」という、以前から知られ続けてきた典型的な欠陥です。使いやすく利用者が多い拡張機能ほど、インストール台数がそのまま攻撃対象の母数になります。焦点は、その人気に見合うだけ脆弱性を抑え込めているか。そこに尽きます。

もう一つ、時代の変化を挙げなければなりません。AIです。ベンダーのフォーラムには「AIによる静的解析でさらなる欠陥を見つけた」という報告が公然と投稿される時代になりました。研究者がAIで穴を見つけられるなら、攻撃者にも同じことができます。発見も悪用も、これまでとは比較にならない速度で進む。良くも悪くも、この火事を早期に鎮火できるかどうかは、開発側と運営側が同じ速度で動けるかにかかっています。

これは対岸の火事ではありません。自動化された攻撃は、あなたのサイトが大手か個人か、商用か趣味かを確認してから撃つわけではない。該当コンポーネントが入っていれば、それだけで標的リストに載ります。

最後に一つ。アップデートは侵入の「予防」であって、「掃除」ではありません。すでに侵入されていた場合、更新だけではWebシェルも偽管理者も消えません。最低限、管理者ユーザー一覧の確認、アップロードディレクトリ内の見覚えのないPHPファイルの捜索、そして万一痕跡があれば、管理者パスワード・データベースパスワード・APIキーまで含めた全認証情報の変更。そこまでやって、初めて消火です。

脆弱性、いやセキュリティホールの延焼を防ぐ手段は、結局のところ日々の情報収集しかありません。それは心配性などではなく、訪問者を招く者としての最低限の義務だと、私は思っています。

その他のストーリー