| CVE ID | CVE-2026-48908 |
|---|---|
| 製品 | JoomShaper / SP Page Builder (Joomla 拡張) |
| CVSS | 9.8(Critical) CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| 種別 (CWE) | CWE-434 危険なタイプのファイルの無制限アップロード |
| 登録/公開日 | 2026/07/07 |
| KEV 期限 | 2026/07/10 まで(米国連邦機関向け目安) |
| 推奨対応 | ベンダー指示に従い緩和策を適用(CISA BOD 26-04 準拠)。緩和策が無ければ製品の使用を停止。 |
| 出典 | https://nvd.nist.gov/vuln/detail/CVE-2026-48908 |
Joomla 用ページビルダー拡張 SP Page Builder に存在する脆弱性。認証されていない攻撃者が任意のファイルをアップロードでき、最終的に PHP コードのアップロードと実行(リモートコード実行)に至る。CISA KEV に登録され悪用が確認されている。Joomla サイトを運用している場合は影響を受ける。
各ベンダー公式アドバイザリで確認できた事実に基づき整理しています。確認できていない項目は「情報確認中」と明記し、存在しないパッチ番号・バージョンは記載しません。
| 環境 | 対応状況 | 対応方法・備考 |
|---|---|---|
| AWS (ECS/EC2) | パッチあり(アプリ更新) |
EC2/ECS 等で自己管理する Joomla の SP Page Builder を JoomShaper 提供の最新修正版へ更新
AWS のマネージド提供はなく利用者責任範囲。AWS 固有の修正提供は確認できず(公式で要確認)。
参照リンク
|
| GCP | パッチあり(アプリ更新) |
GCE/GKE 上の Joomla の当該拡張を最新修正版へ更新
GCP 固有のパッチ提供は確認できず。自己管理アプリのため利用者側で更新。
参照リンク
|
| Azure | パッチあり(アプリ更新) |
Azure VM/App Service 上の Joomla の当該拡張を最新修正版へ更新
Azure 固有のパッチ提供は確認できず。自己管理アプリのため利用者側で更新。
参照リンク
|
| Linux | パッチあり(アプリ更新) |
Joomla 拡張を JoomShaper 公式の修正版へ更新(ディストリのパッケージ対象外)
SP Page Builder はサードパーティ拡張でディストリの CVE トラッカー対象外。ベンダー配布の更新を適用する。
参照リンク
|
JoomShaper が公開する修正版へ SP Page Builder を更新するのが基本方針。アップロードディレクトリでの PHP 実行を Web サーバ設定で禁止する、管理画面/アップロードエンドポイントへのアクセスを IP 制限や WAF で絞る等の回避策を併用する。