本文へスキップ
>_ITDITDセキュリティ対策プラットフォーム

速報

CVE-2026-48908 — SP Page Builder(Joomla)の未認証アップロードでRCE(解説と対応策)

CVE-2026-48908は、Joomla用ページビルダー拡張「SP Page Builder」6.6.1以前に存在する未認証の任意ファイルアップロード脆弱性です。認証なしでリモートコード実行(RCE)に至り、CVSSは10.0・実際に悪用中(CISA KEV掲載)。何が起きるのか・影響範囲・本命の対応(6.6.2への更新)と侵害確認を、攻撃手順を伏せて防御目線で解説します。

公開日 2026-07-08 最終確認 2026-07-08 5分で読める

実際に悪用が確認されている脆弱性(CISA KEV掲載)の速報解説です。何が起きるのか・影響範囲・対応策を、攻撃の再現手順や実証コード(PoC)は伏せて防御目線でまとめます。恒久的な設計の守りは ファイルアップロードの脆弱性とその防ぎ方 を参照してください。

速報サマリー — ADVISORY
CVE
CVE-2026-48908
重大度
Critical(CVSS 10.0 / v4.0)・実際に悪用中(CISA KEV)
種別
未認証の任意ファイルアップロード → RCE(CWE-434)
影響
認証なしでのリモートコード実行(RCE)
対象
SP Page Builder for Joomla(JoomShaper)— 6.6.1 以前
本命の対応
6.6.2 以降へ更新
10.0
CVSS / 最悪クラス
認証なし
到達条件
RCE
到達できる影響
6.6.2で修正
本命の封鎖

放置の危険度

認証不要でRCEに至るため、無差別スキャンの格好の標的です(だからこそKEV入りしています)。Censysの計測では、SP Page Builder を検出したWeb資産は世界で十数万規模とされ、該当バージョンが一斉に狙われました。「うちは小さいから狙われない」は通用しません。

影響範囲

項目内容
対象拡張SP Page Builder for Joomla(JoomShaper)
影響を受けるバージョン6.6.1 以前
修正バージョン6.6.2 以降
前提条件認証不要(unauthenticated)
到達できる影響リモートコード実行(RCE)・データ窃取

パッチ完全性についての注意(両論・確認中)

6.6.2 は実際に悪用されている主経路(カスタムアイコンのアップロード)を塞いだと報じられています。一方で、コミュニティからは「6.6.2 でも別経路(管理側の一部処理)に認証が残っていない」との指摘が投稿され、これに対しベンダー(JoomShaper)は「エディタ側の処理は先に認証を強制する」と反論しつつ、次の更新で対応する旨を示したと報じられています。現時点で決着していないため、6.6.2 へ更新したうえで多層防御を維持し、後続の更新(6.6.x)を注視してください。

対応策

1

拡張を 6.6.2 以降へ更新(最優先・本命)

対象拡張を修正版へ更新する。これがRCEを実際に封鎖する本命。更新後、稼働中の実バージョンを確認する。使っていないなら削除する。
2

侵害の有無を確認(更新前に到達された前提で)

不審な管理者アカウント(実在しないメールドメインの管理者など)、想定外のPHPファイル、外部への不審な通信、アクセスログ上の当該アップロード処理への未認証POSTを点検する。RCEは「環境変数やDB全体が漏れた前提」で扱う。
3

更新までの時間稼ぎ(多層防御)

すぐ更新できない場合は、当該機能への到達制限、アップロード領域でのスクリプト実行の無効化、WAFで一時的に被害面を下げる。あくまで時間稼ぎで、本命は更新。
4

拡張の棚卸し+CVE機械監視

入れている拡張・依存を棚卸しし、使わないものを削除、残すものはCVEを機械監視(Dependabot / osv-scanner 等)する。「公開済みの既知CVEを人手で見落として放置」を構造的に防ぐ。

当サイトの視点:単発CVEより『型』を潰す

この事件は「未認証アップロード→RCE」というありふれた型の一例です(同時期に別のJoomla拡張 CVE-2026-56290 でも同型が悪用されました)。単発の更新も必須ですが、恒久的に効くのは型そのものを設計で潰すこと——アップロード口に認証、サーバー側で許可リスト+中身検査、保存先はWeb公開領域の外か実行無効化。詳しくは ファイルアップロードの脆弱性とその防ぎ方

次に読む

よくある質問

QCVE-2026-48908で何が起きる?
A

認証なしの攻撃者が、対象拡張を入れたJoomlaサイトに任意のファイル(PHP等)をアップロードでき、それが実行されてリモートコード実行(RCE)に至ります。サイト改ざん・情報窃取・管理者アカウントの密造・他システムへの侵入に直結する最悪クラスで、CVSSは10.0、実際に悪用が確認されています(CISA KEV掲載)。

Q一番確実な対応は?
A

拡張「SP Page Builder」を6.6.2以降へ更新することです。6.6.2は当該アップロード処理に認証・権限チェックとCSRFトークンを課したと報じられています。更新までの間は、該当機能への到達制限・アップロード領域でのスクリプト実行無効化・WAFを多層で併用します。

Q更新すれば侵害の心配はない?
A

更新は今後の侵入を止めますが、更新前に到達されていた可能性は別問題です。この攻撃は永続化優先で、Webシェル設置や不審な管理者アカウント(例:実在しないメールドメインの管理者)を残すと報じられています。更新後は必ず侵害確認(不審な管理者・想定外のPHPファイル・外部通信)を行ってください。