本文へスキップ
>_ITDITDセキュリティ対策プラットフォーム

速報

CVE-2026-48939 — iCagenda(Joomla)の未認証ファイルアップロードでRCE(解説と対応策)

CVE-2026-48939は、Joomla用イベントカレンダー拡張「iCagenda」に存在する未認証の任意ファイルアップロード脆弱性です。公開のイベント登録フォームの添付機能から認証なしでPHPを置いて実行でき、リモートコード実行(RCE)に至ります。CVSSは10.0・実際に悪用中(CISA KEV掲載)。影響範囲と本命の対応(3.9.15 / 4.0.8 への更新)・侵害確認を、攻撃手順を伏せて防御目線で解説します。

公開日 2026-07-11 最終確認 2026-07-11 6分で読める

実際に悪用が確認されている脆弱性(CISA KEV掲載)の速報解説です。何が起きるのか・影響範囲・対応策を、攻撃の再現手順や実証コード(PoC)は伏せて防御目線でまとめます。恒久的な設計の守りは ファイルアップロードの脆弱性とその防ぎ方 を参照してください。

速報サマリー — ADVISORY
CVE
CVE-2026-48939
重大度
Critical(CVSS 10.0 / v4.0・v3.1では9.8)・実際に悪用中(CISA KEV)
種別
未認証の任意ファイルアップロード → RCE(CWE-434)
影響
認証なしでのリモートコード実行(RCE)
対象
iCagenda for Joomla — 3.2.1〜3.9.14 / 4.0.0〜4.0.7
本命の対応
3.9.15 または 4.0.8 以降へ更新
10.0
CVSS / 最悪クラス
認証なし
到達条件
RCE
到達できる影響
3.9.15 / 4.0.8
本命の封鎖

放置の危険度

認証不要でRCEに至るため、無差別スキャンの格好の標的です(だからこそKEV入りしています)。CISAは連邦機関に 2026-07-13 までの是正を指示しました。イベントカレンダーという「サイトの片隅の機能」でも、公開フォームがインターネットに面していれば規模の大小は関係ありません。

影響範囲

項目内容
対象拡張iCagenda for Joomla(イベントカレンダー拡張)
影響を受けるバージョン3.2.1〜3.9.14 および 4.0.0〜4.0.7
修正バージョン3.9.15 / 4.0.8 以降
前提条件認証不要(unauthenticated・公開フォーム経由)
到達できる影響リモートコード実行(RCE)・データ窃取
状況実際に悪用中(CISA KEV・公開PoC有り・是正期限 2026-07-13)

根本原因についての注意(確認中の点)

NVDは本件を CWE-434(危険な型のファイルの無制限アップロード)として分類しています。一部のトラッカーは根本原因を CWE-284(不適切なアクセス制御)と表現しており、これは「認可を view 層でしか掛けていなかった」という報じられている実装上の欠陥を指します。どちらも同じ事象の別表現です。バージョン下限も一部情報源で揺れがありますが、本記事はNVDの範囲(3.2.1〜)を採用しています。

対応策

1

3.9.15 / 4.0.8 以降へ更新(最優先・本命)

対象拡張を修正版へ更新する。これがRCEを実際に封鎖する本命。更新後、稼働中の実バージョンを確認する。使っていないなら削除する。
2

侵害の有無を確認(更新前に到達された前提で)

アップロード保存先(iCagendaの添付ファイル格納ディレクトリ)に想定外のPHPが無いか、不審な管理者アカウント(実在しないメールドメインの管理者など)、外部への不審な通信、アクセスログ上の当該フォームへの未認証POSTを点検する。RCEは「環境変数やDB全体が漏れた前提」で扱う。
3

更新までの時間稼ぎ(多層防御)

すぐ更新できない場合は、公開イベント登録フォーム/添付機能への到達制限、アップロード保存先でのスクリプト実行の無効化、WAFで一時的に被害面を下げる。あくまで時間稼ぎで、本命は更新。
4

拡張の棚卸し+CVE機械監視

入れている拡張・依存を棚卸しし、使わないものを削除、残すものはCVEを機械監視(Dependabot / osv-scanner 等)する。「公開済みの既知CVEを人手で見落として放置」を構造的に防ぐ。

当サイトの視点:単発CVEより『型』を潰す

これはJoomla拡張で連続して悪用されている同じ型の一例です。同時期に CVE-2026-48908(SP Page Builder) でも、別拡張 CVE-2026-56290 でも「未認証アップロード→RCE」が悪用されました。単発の更新も必須ですが、恒久的に効くのは型そのものを設計で潰すこと——アップロード口に認証、サーバー側で許可リスト+中身検査、保存先はWeb公開領域の外か実行無効化。詳しくは ファイルアップロードの脆弱性とその防ぎ方

次に読む

よくある質問

QCVE-2026-48939で何が起きる?
A

認証なしの攻撃者が、iCagendaを入れたJoomlaサイトの公開イベント登録フォームから任意のファイル(PHP等)をアップロードでき、それが実行されてリモートコード実行(RCE)に至ります。サイト改ざん・情報窃取・管理者アカウントの密造・他システムへの侵入に直結する最悪クラスで、CVSSは10.0、実際に悪用が確認されています(CISA KEV掲載・是正期限2026-07-13)。

Q一番確実な対応は?
A

拡張「iCagenda」を 3.9.15(3.x系)または 4.0.8(4.x系)以降へ更新することです。更新までの間は、公開イベント登録フォームの添付機能への到達制限・アップロード保存先でのスクリプト実行無効化・WAFを多層で併用します。使っていないなら削除するのが最も確実です。

Q更新すれば侵害の心配はない?
A

更新は今後の侵入を止めますが、公開から更新までの間に到達されていた可能性は別問題です。この型はWebシェル設置や不審な管理者アカウントで永続化するため、更新後は必ず侵害確認(アップロード保存先の想定外PHP・不審な管理者・外部通信)を行ってください。