脆弱性対応ウォッチ重大・クリティカル脆弱性のクラウド別対応まとめ
最新更新履歴CriticalHighAWSGCPAzureLinux
Critical CVSS 9.8 NEW KEV 悪用確認
CVE-2026-56290

Joomla Page Builder CK 認証不要の任意ファイルアップロード(RCE)

CVE IDCVE-2026-56290
製品Joomlack / Page Builder CK (Joomla 拡張)
CVSS9.8(Critical)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
種別 (CWE)CWE-434 危険なタイプのファイルの無制限アップロード
登録/公開日2026/07/07
KEV 期限2026/07/10 まで(米国連邦機関向け目安)
推奨対応ベンダー指示に従い緩和策を適用(CISA BOD 26-04 準拠)。緩和策が無ければ製品の使用を停止。
出典https://nvd.nist.gov/vuln/detail/CVE-2026-56290

概要

Joomla 拡張 Page Builder CK に存在する認証不要の任意ファイルアップロード脆弱性。実行可能ファイルをアップロードでき、完全なリモートコード実行(RCE)につながる。CISA KEV に登録され悪用が確認されている。

クラウド/OS 別の対応状況

各ベンダー公式アドバイザリで確認できた事実に基づき整理しています。確認できていない項目は「情報確認中」と明記し、存在しないパッチ番号・バージョンは記載しません。

環境対応状況対応方法・備考
AWS (ECS/EC2) パッチあり(アプリ更新)
EC2/ECS 等の自己管理 Joomla の Page Builder CK を Joomlack 提供の最新修正版へ更新
AWS 固有の修正提供は確認できず。利用者責任範囲。
参照リンク
GCP パッチあり(アプリ更新)
GCE/GKE 上の当該拡張を最新修正版へ更新
GCP 固有のパッチ提供は確認できず。利用者側で更新。
参照リンク
Azure パッチあり(アプリ更新)
Azure VM/App Service 上の当該拡張を最新修正版へ更新
Azure 固有のパッチ提供は確認できず。利用者側で更新。
参照リンク
Linux パッチあり(アプリ更新)
Joomla 拡張を Joomlack 公式の修正版へ更新(ディストリ対象外)
サードパーティ拡張でディストリ CVE トラッカー対象外。ベンダー配布の更新を適用。
参照リンク

解決の方向性(パッチ/回避策/代替)

Joomlack が公開する修正版へ拡張を更新するのが基本方針。アップロード先での PHP 実行禁止、管理/アップロードエンドポイントのアクセス制限、WAF による不審なアップロード遮断を併用する。

免責: 本ページは CISA KEV・NVD・各ベンダー公式アドバイザリ等の公開情報をもとにした非公式まとめです。修正バージョンや対応可否は変更される場合があります。実際の対応は必ず 出典元および各ベンダー公式情報・自環境で確認してください。

« 一覧に戻る