速報
CVE-2026-48939 — iCagenda(Joomla)の未認証ファイルアップロードでRCE(解説と対応策)
CVE-2026-48939は、Joomla用イベントカレンダー拡張「iCagenda」に存在する未認証の任意ファイルアップロード脆弱性です。公開のイベント登録フォームの添付機能から認証なしでPHPを置いて実行でき、リモートコード実行(RCE)に至ります。CVSSは10.0・実際に悪用中(CISA KEV掲載)。影響範囲と本命の対応(3.9.15 / 4.0.8 への更新)・侵害確認を、攻撃手順を伏せて防御目線で解説します。
実際に悪用が確認されている脆弱性(CISA KEV掲載)の速報解説です。何が起きるのか・影響範囲・対応策を、攻撃の再現手順や実証コード(PoC)は伏せて防御目線でまとめます。恒久的な設計の守りは ファイルアップロードの脆弱性とその防ぎ方 を参照してください。
- CVE
- CVE-2026-48939
- 重大度
- Critical(CVSS 10.0 / v4.0・v3.1では9.8)・実際に悪用中(CISA KEV)
- 種別
- 未認証の任意ファイルアップロード → RCE(CWE-434)
- 影響
- 認証なしでのリモートコード実行(RCE)
- 対象
- iCagenda for Joomla — 3.2.1〜3.9.14 / 4.0.0〜4.0.7
- 本命の対応
- 3.9.15 または 4.0.8 以降へ更新
放置の危険度
認証不要でRCEに至るため、無差別スキャンの格好の標的です(だからこそKEV入りしています)。CISAは連邦機関に 2026-07-13 までの是正を指示しました。イベントカレンダーという「サイトの片隅の機能」でも、公開フォームがインターネットに面していれば規模の大小は関係ありません。
影響範囲
| 項目 | 内容 |
|---|---|
| 対象拡張 | iCagenda for Joomla(イベントカレンダー拡張) |
| 影響を受けるバージョン | 3.2.1〜3.9.14 および 4.0.0〜4.0.7 |
| 修正バージョン | 3.9.15 / 4.0.8 以降 |
| 前提条件 | 認証不要(unauthenticated・公開フォーム経由) |
| 到達できる影響 | リモートコード実行(RCE)・データ窃取 |
| 状況 | 実際に悪用中(CISA KEV・公開PoC有り・是正期限 2026-07-13) |
根本原因についての注意(確認中の点)
NVDは本件を CWE-434(危険な型のファイルの無制限アップロード)として分類しています。一部のトラッカーは根本原因を CWE-284(不適切なアクセス制御)と表現しており、これは「認可を view 層でしか掛けていなかった」という報じられている実装上の欠陥を指します。どちらも同じ事象の別表現です。バージョン下限も一部情報源で揺れがありますが、本記事はNVDの範囲(3.2.1〜)を採用しています。
対応策
3.9.15 / 4.0.8 以降へ更新(最優先・本命)
侵害の有無を確認(更新前に到達された前提で)
更新までの時間稼ぎ(多層防御)
拡張の棚卸し+CVE機械監視
当サイトの視点:単発CVEより『型』を潰す
これはJoomla拡張で連続して悪用されている同じ型の一例です。同時期に CVE-2026-48908(SP Page Builder) でも、別拡張 CVE-2026-56290 でも「未認証アップロード→RCE」が悪用されました。単発の更新も必須ですが、恒久的に効くのは型そのものを設計で潰すこと——アップロード口に認証、サーバー側で許可リスト+中身検査、保存先はWeb公開領域の外か実行無効化。詳しくは ファイルアップロードの脆弱性とその防ぎ方。
次に読む
- 対策(恒久):ファイルアップロードの脆弱性 — Webシェル/RCEを防ぐ設計
- 同じ型の速報:CVE-2026-48908(SP Page Builder / Joomla)
- 用語:RCE(リモートコード実行)とは / CVE とは
- 速報一覧:脆弱性速報
よくある質問
QCVE-2026-48939で何が起きる?
認証なしの攻撃者が、iCagendaを入れたJoomlaサイトの公開イベント登録フォームから任意のファイル(PHP等)をアップロードでき、それが実行されてリモートコード実行(RCE)に至ります。サイト改ざん・情報窃取・管理者アカウントの密造・他システムへの侵入に直結する最悪クラスで、CVSSは10.0、実際に悪用が確認されています(CISA KEV掲載・是正期限2026-07-13)。
Q一番確実な対応は?
拡張「iCagenda」を 3.9.15(3.x系)または 4.0.8(4.x系)以降へ更新することです。更新までの間は、公開イベント登録フォームの添付機能への到達制限・アップロード保存先でのスクリプト実行無効化・WAFを多層で併用します。使っていないなら削除するのが最も確実です。
Q更新すれば侵害の心配はない?
更新は今後の侵入を止めますが、公開から更新までの間に到達されていた可能性は別問題です。この型はWebシェル設置や不審な管理者アカウントで永続化するため、更新後は必ず侵害確認(アップロード保存先の想定外PHP・不審な管理者・外部通信)を行ってください。