チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「うちのサイト、Joomlaで作ってるけど大丈夫なんでしゅか?」
「パッチって言われても、何をどう急げばいいか分からないんでしゅ……」
チップス最大深刻度って聞くだけで、もう心臓に悪いんでしゅ……。
ボス落ち着け、チップス。仕組みと急所さえ押さえれば、やることは絞れる。順に見ていくぞ。
本記事では、Joomlaの拡張機能JCEで見つかった脆弱性CVE-2026-48907について、危険な理由といま取るべき対応を整理します。
読み終える頃には、自社サイトが危険かを見極め、最短で守る手順がつかめます。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
まず何が起きているのかを整理します。
脆弱性はJoomlaの人気エディター拡張「JCE(Joomla Content Editor)」に存在し、深刻度はCVSS 10.0と満点です。
不適切なアクセス制御が原因で、攻撃者は認証なしに新しいエディタープロファイルを作り、PHPコードをアップロードして実行できます。
影響を受けるのはバージョン1.0.0から2.9.99.4までで、6月初旬に公開されたJCE Pro 2.9.99.6で修正されました。
開発元は、すでに悪用が確認され、動作するエクスプロイトコードも公開されていると認めています。
脆弱性の概要は以下のとおりです。
| 区分 | 内容 |
|---|---|
| CVE番号 | CVE-2026-48907 |
| 深刻度 | CVSS 10.0(最大) |
| 影響範囲 | JCE 1.0.0〜2.9.99.4 |
| 修正版 | JCE Pro 2.9.99.6 |
| 状況 | 悪用確認済み・エクスプロイト公開・攻撃自動化 |
チップス10点満点って、テストならうれしいのに、これは最悪でしゅ……!
ボスそうだな。満点は「誰でも、確実に、乗っ取れる」という意味だ。笑えない点数だな。
危険の中身と、急ぐべき対応を見ていきます。
一番の問題は、ログインを必要とせずに攻撃が成立する点です。
本来は権限のある利用者しか触れない「エディタープロファイルの作成」を、外部の第三者が悪用できてしまいます。
そこからPHPファイルを置かれると、ウェブシェルを設置されてサイトを丸ごと操作される恐れがあります。
攻撃は自動化されているため、会員登録を開いていない小さなサイトでも無差別に狙われます。
放置した場合に起こりうることは次のとおりです。
対応の優先順位ははっきりしています。
まず修正版へ更新し、そのうえで侵入の痕跡を確認します。
CISAは、パッチを当てても侵害済みのサイトはきれいにならないと注意しています。
更新と並行して、不審なファイルやアカウントの調査まで行うことが大切です。
取るべき手順は以下のとおりです。
チップス更新して終わり、じゃないんでしゅね。中身も見ないと危ないでしゅか。
ボスそのとおりだ。鍵を替えても、すでに合鍵を作られていたら意味がない。痕跡の確認まで含めて対応だ。
CVE-2026-48907は、未認証でPHPを実行できるCVSS 10.0の脆弱性で、すでに自動化された攻撃が広がっています。
JCEを使っているなら、まず2.9.99.6以降へ更新するのが最優先です。
そのうえで、侵害済みのサイトはパッチだけでは元に戻らない点を忘れず、痕跡の確認まで進めてください。
こうした緊急対応の最前線で力を発揮したい方は、ぜひセキュリティフリーランス案件に目を向けてみてください。
参考: BleepingComputer「CISA orders feds to patch max severity Joomla plugin flaw by Friday」
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
