30秒で判断
対応すべき人:
- iCagenda(Joomla拡張)3.9.15 未満を使用しているサイト管理者
- Joomlaでイベントカレンダー機能を公開しているすべての環境
対応不要な人:
- iCagenda 3.9.15 以降を使用している場合
- iCagendaを使用していない場合
- Joomlaを使用していない場合
確認コマンド:
# Joomla拡張一覧でiCagendaのバージョン確認
# Joomla管理画面 > 拡張 > 管理 でiCagendaを確認
⚠️ 重要: CISAのKnown Exploited Vulnerabilities(KEV)カタログに掲載されており、実際の悪用が確認されています。
概要
Joomla用イベントカレンダー拡張「iCagenda」のファイル添付機能に、ファイルタイプの検証が不十分な脆弱性があります(CWE-434)。攻撃者がPHPファイルをアップロードしてサーバー上で実行できます。CISAがKEV(Known Exploited Vulnerabilities)カタログに掲載しており、実際の悪用が確認されています。
CVSSベクトル
| 項目 | 値 | 説明 |
|---|---|---|
| Attack Vector | Network | ネットワーク経由 |
| Attack Complexity | Low | 特別な条件不要 |
| Privileges Required | None | 認証不要(または低権限) |
| User Interaction | None | 被害者の操作不要 |
| Scope | Unchanged | |
| Confidentiality | High | サーバー上のファイルにアクセス可 |
| Integrity | High | PHPコードの実行が可能 |
| Availability | High | サービス停止・改ざん可能 |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| iCagenda(Joomla拡張) | iCagenda | < 3.9.15 |
修正バージョンと対応策
推奨対応: iCagenda 3.9.15 以降へのアップデート
Joomla管理画面から拡張機能の更新を実施してください:
- 管理画面 > 拡張 > アップデート でiCagendaの更新を確認
- または公式サイト(icagenda.com)から最新版をダウンロード
暫定対策(アップデートが困難な場合):
- ファイル添付機能を一時的に無効化
- アップロードディレクトリへの直接アクセスを制限
関連リンク
データソース: NVD (NIST), CISA KEV
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。
