つみかさね

CVE-2026-48939

Critical(9.8)

iCagenda(Joomla拡張)の任意ファイルアップロード CVE-2026-48939:影響範囲と対応方法

公開日: 2026-07-12データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
iCagenda(Joomla拡張)iCagenda< 3.9.15

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1Joomla管理画面でiCagendaのバージョンを確認する
  2. 23.9.15未満の場合は即時アップデートを実施する
  3. 3アクセスログを確認し、不審なファイルアップロードがないか調査する
  4. 4アップロードディレクトリに不審なPHPファイルがないか確認する

影響対象

iCagendaを使用しているJoomlaサイト管理者

補足

  • -CISA KEV掲載済みのため、実際の悪用が確認されている。アップデートは最優先で実施すること
CVEJoomlaiCagendaRCEファイルアップロードCISA KEV

30秒で判断

対応すべき人:

  • iCagenda(Joomla拡張)3.9.15 未満を使用しているサイト管理者
  • Joomlaでイベントカレンダー機能を公開しているすべての環境

対応不要な人:

  • iCagenda 3.9.15 以降を使用している場合
  • iCagendaを使用していない場合
  • Joomlaを使用していない場合

確認コマンド:

# Joomla拡張一覧でiCagendaのバージョン確認
# Joomla管理画面 > 拡張 > 管理 でiCagendaを確認

⚠️ 重要: CISAのKnown Exploited Vulnerabilities(KEV)カタログに掲載されており、実際の悪用が確認されています。


概要

Joomla用イベントカレンダー拡張「iCagenda」のファイル添付機能に、ファイルタイプの検証が不十分な脆弱性があります(CWE-434)。攻撃者がPHPファイルをアップロードしてサーバー上で実行できます。CISAがKEV(Known Exploited Vulnerabilities)カタログに掲載しており、実際の悪用が確認されています。


CVSSベクトル

項目説明
Attack VectorNetworkネットワーク経由
Attack ComplexityLow特別な条件不要
Privileges RequiredNone認証不要(または低権限)
User InteractionNone被害者の操作不要
ScopeUnchanged
ConfidentialityHighサーバー上のファイルにアクセス可
IntegrityHighPHPコードの実行が可能
AvailabilityHighサービス停止・改ざん可能

影響を受けるソフトウェア

製品ベンダー影響バージョン
iCagenda(Joomla拡張)iCagenda< 3.9.15

修正バージョンと対応策

推奨対応: iCagenda 3.9.15 以降へのアップデート

Joomla管理画面から拡張機能の更新を実施してください:

  • 管理画面 > 拡張 > アップデート でiCagendaの更新を確認
  • または公式サイト(icagenda.com)から最新版をダウンロード

暫定対策(アップデートが困難な場合):

  • ファイル添付機能を一時的に無効化
  • アップロードディレクトリへの直接アクセスを制限

関連リンク


データソース: NVD (NIST), CISA KEV
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。