Trusted Design

CVE-2026-48939 の詳細

CVEの情報

説明:
A vulnerability in the iCagenda extension for Joomla allows the upload of arbitrary files in the file attachment feature, ultimately resulting in PHP code upload and execution.

CVE更新日: 2026-06-20 13:16:42.433000

CVSSバージョン: 4.0

CVSSスコア: 10.0

KEVの情報

KEV更新日: 2026-07-10

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.015050000

EPSS更新日: 2026-07-17 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: low

Automatable: True

AIを使った解説

解説:

Joomla 拡張 iCagenda に存在する「認証不要の任意ファイルアップロード → PHP 実行 → 完全な RCE」脆弱性。 CISA KEV 登録済みで “実際に悪用されている” 重大インシデント。

1. 脆弱性の概要

CVE‑2026‑48939 は Joomla のイベント管理拡張 iCagenda に存在する Unrestricted File Upload(CWE‑434) による 認証不要のリモートコード実行(RCE) 脆弱性。 iCagenda の「添付ファイルアップロード機能」が ファイル拡張子・MIME・内容の検証を行わない ため、 攻撃者は PHP ファイルをアップロード → Web 経由で実行 できる。 結果として、攻撃者は Joomla サーバーを完全に乗っ取ることが可能。

2. 深刻度(CVSS)

評価元 CVSS 内容

  • Joomla CNA : 10.0(Critical)
    CVSS 4.0 ベクトル:AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H

  • NVD : 9.8(Critical)
    CVSS 3.1:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

  • CISA KEV : 悪用確認済み(Exploited)
    実際に攻撃が発生

3. 影響範囲

3.1 影響を受ける製品

  • iCagenda < 3.9.15
  • iCagenda < 4.0.8

3.2 攻撃条件

  • 認証不要(PR:N)
  • ネットワーク経由で攻撃可能(AV:N)
  • 添付ファイルアップロード機能が外部から到達可能

4. 技術的詳細

4.1 脆弱性の原因

  • ファイルアップロード機能が 拡張子・MIME・内容を検証しない
  • アップロード先ディレクトリが PHP 実行可能

4.2 攻撃手順(実際の PoC に基づく)

  1. 攻撃者が iCagenda の添付ファイルアップロード API に悪意ある PHP ファイルを POST
  2. iCagenda がそのままファイルを保存
  3. 攻撃者が保存先 URL を GET → PHP が実行され RCE

4.3 攻撃後の影響

  • Joomla Web サーバー権限で任意コード実行
  • Joomla 設定ファイルから DB 認証情報の窃取
  • サーバー内部への横展開(pivot)

5. 悪用状況(Exploitation Status)

  • CISA KEV に登録 → 実際に悪用されている
  • KEV 情報では「Exploited: Yes」

6. Indicators of Compromise(IoC)

SentinelOne による事実ベースの IoC:

  • iCagenda の添付ディレクトリ(例:images/icagenda/, media/com_icagenda/)に 不審な .php / .phtml / .phar ファイル
  • アップロード API への不審な POST

7. 推奨対策

7.1 恒久対策(必須)

  • iCagenda を 3.9.15 または 4.0.8 以降へアップデート
    → ベンダーが脆弱性を修正済み

7.2 暫定緩和策(可能な場合)

  • 添付ディレクトリで PHP 実行を禁止(.htaccess / nginx 設定)
  • アップロード機能を 管理者のみに制限
  • WAF で ファイルアップロードの PHP 署名を検知・遮断

NVDサイト

NVDでCVEの詳細を見る

戻る