速報
CVE-2026-48908 — SP Page Builder(Joomla)の未認証アップロードでRCE(解説と対応策)
CVE-2026-48908は、Joomla用ページビルダー拡張「SP Page Builder」6.6.1以前に存在する未認証の任意ファイルアップロード脆弱性です。認証なしでリモートコード実行(RCE)に至り、CVSSは10.0・実際に悪用中(CISA KEV掲載)。何が起きるのか・影響範囲・本命の対応(6.6.2への更新)と侵害確認を、攻撃手順を伏せて防御目線で解説します。
実際に悪用が確認されている脆弱性(CISA KEV掲載)の速報解説です。何が起きるのか・影響範囲・対応策を、攻撃の再現手順や実証コード(PoC)は伏せて防御目線でまとめます。恒久的な設計の守りは ファイルアップロードの脆弱性とその防ぎ方 を参照してください。
- CVE
- CVE-2026-48908
- 重大度
- Critical(CVSS 10.0 / v4.0)・実際に悪用中(CISA KEV)
- 種別
- 未認証の任意ファイルアップロード → RCE(CWE-434)
- 影響
- 認証なしでのリモートコード実行(RCE)
- 対象
- SP Page Builder for Joomla(JoomShaper)— 6.6.1 以前
- 本命の対応
- 6.6.2 以降へ更新
放置の危険度
認証不要でRCEに至るため、無差別スキャンの格好の標的です(だからこそKEV入りしています)。Censysの計測では、SP Page Builder を検出したWeb資産は世界で十数万規模とされ、該当バージョンが一斉に狙われました。「うちは小さいから狙われない」は通用しません。
影響範囲
| 項目 | 内容 |
|---|---|
| 対象拡張 | SP Page Builder for Joomla(JoomShaper) |
| 影響を受けるバージョン | 6.6.1 以前 |
| 修正バージョン | 6.6.2 以降 |
| 前提条件 | 認証不要(unauthenticated) |
| 到達できる影響 | リモートコード実行(RCE)・データ窃取 |
パッチ完全性についての注意(両論・確認中)
6.6.2 は実際に悪用されている主経路(カスタムアイコンのアップロード)を塞いだと報じられています。一方で、コミュニティからは「6.6.2 でも別経路(管理側の一部処理)に認証が残っていない」との指摘が投稿され、これに対しベンダー(JoomShaper)は「エディタ側の処理は先に認証を強制する」と反論しつつ、次の更新で対応する旨を示したと報じられています。現時点で決着していないため、6.6.2 へ更新したうえで多層防御を維持し、後続の更新(6.6.x)を注視してください。
対応策
拡張を 6.6.2 以降へ更新(最優先・本命)
侵害の有無を確認(更新前に到達された前提で)
更新までの時間稼ぎ(多層防御)
拡張の棚卸し+CVE機械監視
当サイトの視点:単発CVEより『型』を潰す
この事件は「未認証アップロード→RCE」というありふれた型の一例です(同時期に別のJoomla拡張 CVE-2026-56290 でも同型が悪用されました)。単発の更新も必須ですが、恒久的に効くのは型そのものを設計で潰すこと——アップロード口に認証、サーバー側で許可リスト+中身検査、保存先はWeb公開領域の外か実行無効化。詳しくは ファイルアップロードの脆弱性とその防ぎ方。
次に読む
- 対策(恒久):ファイルアップロードの脆弱性 — Webシェル/RCEを防ぐ設計
- 用語:RCE(リモートコード実行)とは / CVE とは
- 速報一覧:脆弱性速報
よくある質問
QCVE-2026-48908で何が起きる?
認証なしの攻撃者が、対象拡張を入れたJoomlaサイトに任意のファイル(PHP等)をアップロードでき、それが実行されてリモートコード実行(RCE)に至ります。サイト改ざん・情報窃取・管理者アカウントの密造・他システムへの侵入に直結する最悪クラスで、CVSSは10.0、実際に悪用が確認されています(CISA KEV掲載)。
Q一番確実な対応は?
拡張「SP Page Builder」を6.6.2以降へ更新することです。6.6.2は当該アップロード処理に認証・権限チェックとCSRFトークンを課したと報じられています。更新までの間は、該当機能への到達制限・アップロード領域でのスクリプト実行無効化・WAFを多層で併用します。
Q更新すれば侵害の心配はない?
更新は今後の侵入を止めますが、更新前に到達されていた可能性は別問題です。この攻撃は永続化優先で、Webシェル設置や不審な管理者アカウント(例:実在しないメールドメインの管理者)を残すと報じられています。更新後は必ず侵害確認(不審な管理者・想定外のPHPファイル・外部通信)を行ってください。