Trusted Design

CVE-2026-56290 の詳細

CVEの情報

説明:
The Joomla extension Page Builder CK is vulnerable to an unauthenticated arbitrary file upload that allows uploading executable files and leads to full RCE.

CVE更新日: 2026-06-29 15:16:42.360000

CVSSバージョン: 4.0

CVSSスコア: 10.0

KEVの情報

KEV更新日: 2026-07-07

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.029120000

EPSS更新日: 2026-07-17 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: low

Automatable: True

AIを使った解説

解説:

Joomla Page Builder CK における「認証不要の任意ファイルアップロード」による完全なリモートコード実行(RCE)。CISA KEV 登録済みで“実際に悪用されている”重大脆弱性。

1. 脆弱性の概要

CVE‑2026‑56290 は Joomla の拡張 Page Builder CK に存在する 認証不要の任意ファイルアップロード(Unrestricted File Upload) による 完全なリモートコード実行(RCE) 脆弱性。 攻撃者は アップロードエンドポイントへ細工した HTTP リクエストを送信するだけで PHP などの実行可能ファイルをアップロードし、 Web サーバーの権限で任意コードを実行可能。

1.1 影響

  • 認証不要で RCE(Remote Code Execution)
  • Web サーバーの完全な乗っ取りが可能
  • ランサムウェア攻撃に悪用される可能性あり(TheHackerWire による警告)

1.2 深刻度

  • CVSS v3.1:10.0(Critical)(OpenCVE)
  • CVSS v3.1:9.8(Critical)(TheHackerWire)
  • CISA Known Exploited Vulnerabilities(KEV)登録済み → 実際に悪用確認

2. 対象となる環境

2.1 影響を受ける製品

  • Joomlack Page Builder CK
  • 3.6.0 未満のすべてのバージョンが影響

2.2 影響を受ける設定

  • Joomla サイトで Page Builder CK を利用
  • 拡張のアップロード機能が外部から到達可能
    (設定依存ではなく、該当バージョンであれば攻撃成立)

3. 影響を受けた時の兆候(IoC)

公式 IoC は未公開だが、脆弱性の性質と公開情報から以下が起こり得る:

  • アップロードディレクトリに 不審な PHP / 実行ファイルが生成
  • Page Builder CK のアップロードエンドポイントへの 不審な HTTP POST
  • Web サーバー上で 不審なプロセス実行
  • Joomla サイトの改ざん・ランサムウェア設置の可能性
    (TheHackerWire は「潜在的ランサムウェアリスク」を警告)

4. 推奨対策

4.1 本対策(恒久対策)

OpenCVE による公式推奨:

  • Page Builder CK を 3.6.0 以降へアップデート(脆弱性修正済み)

4.2 暫定回避策(緩和策)

OpenCVE 推奨:

  • 拡張を一時的に無効化
  • アップロードディレクトリでスクリプト実行を禁止(.htaccess など)
  • アップロード機能を管理者のみに制限

TheHackerWire 推奨:

  • 最新パッチ適用
  • 公式アドバイザリの確認
  • 不審な挙動の監視

5. その他補足すべき観点

5.1 悪用状況

  • CISA KEV に登録 → 実際に悪用されている

5.2 脆弱性の根本原因

  • 不適切なアクセス制御(Improper Access Control)
  • アップロードファイルの種類検証不足(Unrestricted File Upload)

NVDサイト

NVDでCVEの詳細を見る

戻る