Joomlaのページ作成ツール2種に乗っ取りの脆弱性 CVE-2026-48908ほか、SP Page Builderは6.6.2へ即更新を
Joomlaで作られたサイトに使われる人気のページ作成ツール2種に、パスワードなしで誰でもサーバーを乗っ取れる最悪級の欠陥が見つかりました。すでに世界中で実際の攻撃が確認され、乗っ取られたサイトには秘密の管理者アカウントが作られます。SP Page Builderは6.6.2、Page Builder CKは3.6.0へ今すぐ更新を。
目次
Joomlaで作られたサイトに使われる人気のページ作成ツール2種に、パスワードなしで誰でもサーバーを乗っ取れる最悪級の欠陥が見つかりました。すでに世界中で実際の攻撃が確認され、乗っ取られたサイトには秘密の管理者アカウントが作られます。SP Page Builderは6.6.2、Page Builder CKは3.6.0へ今すぐ更新を。
世界中のホームページ作りに使われている無料ソフト「Joomla(ジュームラ)」向けの人気ページ作成ツール2種に、パスワードなしで誰でもサーバーを乗っ取れる最悪級の欠陥が相次いで見つかりました。JoomShaper社の「SP Page Builder」(CVE-2026-48908)と、Joomlack社の「Page Builder CK」(CVE-2026-56290)で、いずれも危険度は最高評価の「10.0」です。
どちらもすでに世界中で実際の攻撃が確認されており、米政府の担当機関CISAが公開する「実際に攻撃されている欠陥のリスト」(KEV)にも登録されています。攻撃を受けたサイトには、管理者になりすます秘密のアカウントがひそかに作られていました。SP Page Builderは6.6.2へ、Page Builder CKは3.6.0へ、いま使っている人は今すぐ更新してください。
相次いだ2つの欠陥の概要
2つの欠陥は開発元も製品も別ですが、成り立ちはよく似ています。どちらも「本来は管理者しか使えないはずのファイルの受け取り口が、ログインなしで誰にでも開いていた」という作りの不備です。そこへ攻撃用の小さなプログラムを送り込むだけで、サーバーの中身を自由に操作できてしまいます。
| 項目 | SP Page Builder | Page Builder CK |
|---|---|---|
| 管理番号 | CVE-2026-48908 | CVE-2026-56290 |
| 開発元 | JoomShaper | Joomlack |
| 危険度(10点満点) | 10.0(最高) | 10.0(最高) |
| 影響を受ける版 | 6.6.1 以前 すべて | 3.5.10 以前 すべて |
| 修正版 | 6.6.2 | 3.6.0 (3.1.1 / 3.4.10 も) |
| ログインの要否 | 不要(誰でも) | 不要(誰でも) |
| 実際の攻撃 | 確認済み | 確認済み |
危険度の「10.0」は、脆弱性の深刻さを世界共通の基準で数値化したCVSS(共通脆弱性評価システム)という指標の満点です。10.0はめったに付かず、「ログイン不要・遠隔から・サーバーを完全に支配できる」という条件がそろったときにだけ出る数字です。今回はその2つが同じ時期に、同じ用途のツールで重なりました。
誰が狙い、何をしてくるのか
狙ってくるのは、特定の誰かに恨みを持った相手ではありません。インターネット全体を機械で自動的にスキャンし、この2つのツールを使っているサイトを片っ端から探し回る攻撃者です。ログインもパスワードも要らないため、標的を選ばず、見つけたサイトに手当たり次第に攻撃を仕掛けます。個人ブログでも、中小企業の会社サイトでも、自治体や学校のページでも、条件が合えば等しく対象になります。
攻撃者がすることは、サーバーに自分専用の裏口プログラムを仕込み、管理者になりすます秘密のアカウントをこっそり作ることです。実際に攻撃を受けたサイトでは、正規の担当者になじみのある名前(「Web Editor」「Site Helper」など)を装った偽の管理者アカウントが見つかっています。表向きは何も変わらないまま、裏側だけが乗っ取られている状態です。
乗っ取られたサイトは、そのまま放置されるわけではありません。訪問者を偽サイトへ飛ばす踏み台にされたり、会員情報や問い合わせフォームに入力された個人情報を抜き取られたり、別のサイトを攻撃するための拠点にされたりします。サイトを運営する側は信用を失い、訪れた利用者は知らないうちに被害の入り口に立たされます。同じJoomla向けの文章編集ツールでも、少し前に同種の乗っ取り欠陥(JCEのCVE-2026-48907)が見つかっており、Joomlaの拡張機能を狙う波がこの時期に続いています。
そもそもJoomlaとページ作成ツールとは
Joomlaは、プログラミングの知識がなくてもホームページを作って更新できる無料ソフトです。世界のウェブサイトの土台として広く使われているWordPressに次ぐ知名度があり、企業サイトや会員制サイト、自治体・学校のページなどで採用されています。
Joomla本体だけでも使えますが、機能を足すために「拡張機能」と呼ばれる追加ソフトを入れるのが一般的です。今回問題になったSP Page BuilderとPage Builder CKは、その中でも特に人気の高い「ページ作成ツール」です。文章や画像、ボタンを部品のようにドラッグして並べるだけで、見栄えのするページを作れます。手軽さゆえに導入しているサイトが多く、その分だけ今回の欠陥の影響範囲も広がっています。
セキュリティ調査会社Censysの調べでは、SP Page Builderを組み込んだウェブ資産はインターネット上に約19万4,793件、ホスト数にして約3,080台が確認されています。これはあくまで外から見えている分だけで、実際の導入数はさらに多いとみられます。
SP Page Builderの欠陥(CVE-2026-48908)の仕組み
CVE-2026-48908: アイコン画像の受け取り口から侵入される
問題があったのは、SP Page Builderがページに使うアイコン画像を受け取る「asset.uploadCustomIcon」という機能です。本来は管理者がログインした状態でだけ使うはずの入り口ですが、mySites.guruの解析によれば、この入り口には「相手がログインしているか」を確かめる仕組みも、「送られてきたファイルが本当に画像か」を確かめる仕組みもありませんでした。
そのため攻撃者は、ログインしないまま、画像のふりをしたプログラム(PHPファイル)をサーバーに置くことができます。置かれたファイルはウェブから直接開ける場所に保存されるため、攻撃者がそのアドレスにアクセスするだけでプログラムが動き出し、サーバーを外から操作できるようになります。この「外部から任意のプログラムを実行される」種類の欠陥はCWE-434(危険なファイルの無制限アップロード)に分類され、CVSSの評価は最新基準(4.0)で10.0、旧基準(3.1)でも9.8という極めて高い値が付いています。
攻撃の実演コード(PoC)はすでにGitHubで公開されており、専門知識がそれほどなくても攻撃を再現できる状態です。乗っ取られたサイトには、「@secure.local」という実在しないメールアドレスを使った偽の管理者アカウントが作られ、さらに「PHP File manager」と名乗る裏口プログラムが複数の場所に仕込まれていたことが確認されています。
Page Builder CKの欠陥(CVE-2026-56290)の仕組み
CVE-2026-56290: 保存先も名前も攻撃者の言いなり
もう一方のPage Builder CKも、根っこは同じファイル受け取りの不備です。mySites.guruの解析によると、ファイルの受け取り口が「どのフォルダに」「どんな名前で」保存するかを、送られてきた要求のまま素直に受け入れていました。画像だけに絞る制限も、PHPファイルを弾く仕組みもありません。唯一の関門である「合言葉(CSRFトークン)」も、サイトのページを見れば誰でも読み取れる状態でした。
結果として、ログインしていない攻撃者が書き込み可能な好きな場所に攻撃用プログラムを置き、ブラウザで開いて実行できてしまいます。この欠陥はGitHubのアドバイザリでもCVSS 10.0(CWE-284・不適切なアクセス制御)と評価されています。修正版が公開されてから数時間のうちに、実際のサイトへ「bhup.php」という名前の裏口プログラムが仕込まれる攻撃が確認されました。
Page Builder CKは、使っているJoomlaの世代ごとに修正版が分かれています。最新系統は3.6.0、旧世代向けには3.1.1と3.4.10のバックポート版が同時に公開されました。自分のサイトのJoomlaの世代に合った版へ更新する必要があります。
製品ごとの更新先まとめ
| 製品 | 危険な版 | 更新先 | 優先度 |
|---|---|---|---|
| SP Page Builder | 6.6.1 以前 | 6.6.2 | 今すぐ |
| Page Builder CK (最新系統) | 3.5.10 以前 | 3.6.0 | 今すぐ |
| Page Builder CK (Joomla 3 向け) | 3.1.0 以前 | 3.1.1 | 今すぐ |
| Page Builder CK (Joomla 4 向け) | 3.4.9 以前 | 3.4.10 | 今すぐ |
これまでの経緯
← スワイプで移動
乗っ取られていないか確認する方法
すでに攻撃を受けているサイトは、更新するだけでは裏口が残ってしまいます。心当たりのある人は、更新と合わせて次の痕跡が残っていないかを確認してください。
- 管理者アカウントの一覧に、メールアドレスが「@secure.local」で終わる見覚えのない利用者がいないか
- 「Web Editor」「Site Helper」「Admin Backup」など、作った覚えのない管理者名がないか
- SP Page Builderでは「images」フォルダの下や「/media/com_admin/」「/media/regularlabs/」に、身に覚えのない「.php」ファイル(特に users.php)がないか
- Page Builder CKでは「/media/com_pagebuilderck/gfonts/」の下に、bhup.php のような不審な「.php」ファイルがないか
もし1つでも見つかった場合は、すでに侵入されている可能性が高い状態です。mySites.guruの手引きでは、偽アカウントと裏口ファイルの削除に加えて、Joomlaの管理者パスワード・データベース・FTP/SSHのすべての合言葉を変更し、全利用者を強制的にログアウトさせたうえでサイト全体を点検するよう勧めています。
いま何をすればよいか
まず、自分のサイトがJoomlaで作られているか、そしてSP Page BuilderかPage Builder CKを使っているかを確かめてください。Joomlaの管理画面(システム→拡張機能の管理)で、導入済みのツールとその版を確認できます。該当する場合は、上の「更新先まとめ」の表に従って、ためらわずに最新版へ更新します。攻撃はすでに世界中で自動的に行われており、「うちの小さなサイトは狙われない」という考えは通用しません。
制作を外部の会社に任せている場合は、その会社に「SP Page BuilderとPage Builder CKの緊急更新は済んでいるか」を今日中に確認してください。更新後は、前の項目で挙げた痕跡がないかも必ず点検します。実際に攻撃されている欠陥は、米政府CISAの警告リスト(KEVダッシュボード日本語版)でも追えます。今回の2件のように、Joomlaの拡張機能を狙う攻撃はこのところ続いており、使っているツールの更新情報をこまめに確認する習慣が最大の防御になります。
✓ 確認済みの事実
- ✓SP Page Builder 6.6.1以前に認証なしで乗っ取り可能な欠陥、修正版は6.6.2(CVE-2026-48908)
- ✓Page Builder CK 3.5.10以前に同種の欠陥、修正版は3.6.0ほか(CVE-2026-56290)
- ✓両案件とも危険度は最高の10.0、いずれも実際の攻撃が確認されCISAの警告リストに登録(出典)
- ✓SP Page Builderを組み込んだウェブ資産は約19万4,793件を確認(Censys)
締めに
手軽にきれいなページを作れるツールほど、多くのサイトに入り込み、いざ欠陥が見つかったときの被害も広がります。今回のSP Page BuilderとPage Builder CKは、開発元も製品も違うのに「ログインなしでファイルを置ける」という同じ弱点を抱えていました。ページ作成ツールという便利な部品が、そのまま侵入口になり得ることを示した事例です。
やるべきことは単純です。使っているなら今すぐ更新し、乗っ取りの痕跡がないかを確かめる。この2つを今日のうちに済ませてください。Joomlaの拡張機能を狙う攻撃はこの数週間で立て続けに起きており、次に同じ手口の欠陥が出ても慌てないよう、更新情報を追う習慣をつけておくことが結局は一番の備えになります。
参照元
- ▸ NVD - CVE-2026-48908 Detail(SP Page Builder)
- ▸ NVD - CVE-2026-56290 Detail(Page Builder CK)
- ▸ Censys - CVE-2026-48908 Advisory(影響範囲の調査)
- ▸ mySites.guru - SP Page Builder Zero Day RCE Fixed in 6.6.2
- ▸ mySites.guru - PageBuilder CK RCE (CVE-2026-56290)
- ▸ GitHub Advisory Database - GHSA-gxrr-wfg5-xqqf
- ▸ JoomShaper 公式サイト
- ▸ Joomlack - Page Builder CK 公式ページ
- ▸ CISA - Known Exploited Vulnerabilities Catalog

堀川 慎
Backend Engineer / AWS / Django / Go