| CVE ID | CVE-2026-56290 |
|---|---|
| 製品 | Joomlack / Page Builder CK (Joomla 拡張) |
| CVSS | 9.8(Critical) CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| 種別 (CWE) | CWE-434 危険なタイプのファイルの無制限アップロード |
| 登録/公開日 | 2026/07/07 |
| KEV 期限 | 2026/07/10 まで(米国連邦機関向け目安) |
| 推奨対応 | ベンダー指示に従い緩和策を適用(CISA BOD 26-04 準拠)。緩和策が無ければ製品の使用を停止。 |
| 出典 | https://nvd.nist.gov/vuln/detail/CVE-2026-56290 |
Joomla 拡張 Page Builder CK に存在する認証不要の任意ファイルアップロード脆弱性。実行可能ファイルをアップロードでき、完全なリモートコード実行(RCE)につながる。CISA KEV に登録され悪用が確認されている。
各ベンダー公式アドバイザリで確認できた事実に基づき整理しています。確認できていない項目は「情報確認中」と明記し、存在しないパッチ番号・バージョンは記載しません。
| 環境 | 対応状況 | 対応方法・備考 |
|---|---|---|
| AWS (ECS/EC2) | パッチあり(アプリ更新) |
EC2/ECS 等の自己管理 Joomla の Page Builder CK を Joomlack 提供の最新修正版へ更新
AWS 固有の修正提供は確認できず。利用者責任範囲。
参照リンク
|
| GCP | パッチあり(アプリ更新) |
GCE/GKE 上の当該拡張を最新修正版へ更新
GCP 固有のパッチ提供は確認できず。利用者側で更新。
参照リンク
|
| Azure | パッチあり(アプリ更新) |
Azure VM/App Service 上の当該拡張を最新修正版へ更新
Azure 固有のパッチ提供は確認できず。利用者側で更新。
参照リンク
|
| Linux | パッチあり(アプリ更新) |
Joomla 拡張を Joomlack 公式の修正版へ更新(ディストリ対象外)
サードパーティ拡張でディストリ CVE トラッカー対象外。ベンダー配布の更新を適用。
参照リンク
|
Joomlack が公開する修正版へ拡張を更新するのが基本方針。アップロード先での PHP 実行禁止、管理/アップロードエンドポイントのアクセス制限、WAF による不審なアップロード遮断を併用する。