CVE-2026-48939 の詳細
CVEの情報
説明:
A vulnerability in the iCagenda extension for Joomla allows the upload of arbitrary files in the file attachment feature, ultimately resulting in PHP code upload and execution.
CVE更新日: 2026-06-20 13:16:42.433000
CVSSバージョン: 4.0
CVSSスコア: 10.0
KEVの情報
KEV更新日: 2026-07-10
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.015050000
EPSS更新日: 2026-07-17 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: low
Automatable: True
Joomla 拡張 iCagenda に存在する「認証不要の任意ファイルアップロード → PHP 実行 → 完全な RCE」脆弱性。 CISA KEV 登録済みで “実際に悪用されている” 重大インシデント。
1. 脆弱性の概要
CVE‑2026‑48939 は Joomla のイベント管理拡張 iCagenda に存在する Unrestricted File Upload(CWE‑434) による 認証不要のリモートコード実行(RCE) 脆弱性。 iCagenda の「添付ファイルアップロード機能」が ファイル拡張子・MIME・内容の検証を行わない ため、 攻撃者は PHP ファイルをアップロード → Web 経由で実行 できる。 結果として、攻撃者は Joomla サーバーを完全に乗っ取ることが可能。
2. 深刻度(CVSS)
評価元 CVSS 内容
Joomla CNA : 10.0(Critical)
CVSS 4.0 ベクトル:AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H
NVD : 9.8(Critical)
CVSS 3.1:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CISA KEV : 悪用確認済み(Exploited)
実際に攻撃が発生
3. 影響範囲
3.1 影響を受ける製品
3.2 攻撃条件
4. 技術的詳細
4.1 脆弱性の原因
4.2 攻撃手順(実際の PoC に基づく)
4.3 攻撃後の影響
5. 悪用状況(Exploitation Status)
6. Indicators of Compromise(IoC)
SentinelOne による事実ベースの IoC:
7. 推奨対策
7.1 恒久対策(必須)
→ ベンダーが脆弱性を修正済み
7.2 暫定緩和策(可能な場合)