B
今週中
Joomla Page Builder CK 3.5.10 以前に、認証なしで任意のファイルをアップロードできる脆弱性(CVE-2026-56290)
📌 一言でいうと
Joomla Page Builder CK 3.5.10 以前に、認証なしで任意のファイルをアップロードできる脆弱性(CVE-2026-56290)が発見されました。攻撃者は `fonts.save` タスクを悪用して、WebルートにPHPシェルなどの悪意あるファイルを書き込むことが可能です。この脆弱性を利用されると、サーバー上でリモートコード実行(RCE)が行われる危険性があります。
🔍該当判定
- CMSに「Joomla」を利用している
- Joomlaの拡張機能として「Page Builder CK」をインストールしている
- Page Builder CKのバージョンが 3.5.10 以前である
上記いずれにも該当しない → 静観でOK
✅該当時の対応
速やかに Page Builder CK をバージョン 3.6.0 以降にアップデートしてください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Joomla Page Builder CK 任意のファイルアップロード脆弱性 (CVE-2026-56290) 対応について
お疲れさまです。Joomla Page Builder CK に関する脆弱性の情報共有です。
■ 概要
Joomla Page Builder CK の `fonts.save` タスクに認証不備があり、未認証の攻撃者が任意のPHPファイルをアップロードし、リモートコード実行 (RCE) を行うことが可能です。CSRFトークンで保護されていますが、これはホームページから容易に取得可能です。
■ 影響範囲
- 対象製品: Joomla Page Builder CK (com_pagebuilderck)
- 対象バージョン: 3.5.10 以前
■ 対応手順
1. 利用中の Page Builder CK のバージョンを確認してください。
2. 脆弱性が修正された最新バージョン (3.6.0 以降) へアップデートを適用してください。
■ 参考情報
- CVE-2026-56290
- ベンダーサイト: https://www.joomlack.fr/
対応優先度: 高
対応期限: 速やかに
お疲れさまです。Joomla Page Builder CK に関する脆弱性の情報共有です。
■ 概要
Joomla Page Builder CK の `fonts.save` タスクに認証不備があり、未認証の攻撃者が任意のPHPファイルをアップロードし、リモートコード実行 (RCE) を行うことが可能です。CSRFトークンで保護されていますが、これはホームページから容易に取得可能です。
■ 影響範囲
- 対象製品: Joomla Page Builder CK (com_pagebuilderck)
- 対象バージョン: 3.5.10 以前
■ 対応手順
1. 利用中の Page Builder CK のバージョンを確認してください。
2. 脆弱性が修正された最新バージョン (3.6.0 以降) へアップデートを適用してください。
■ 参考情報
- CVE-2026-56290
- ベンダーサイト: https://www.joomlack.fr/
対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] Arbitrary File Upload in Joomla Page Builder CK (CVE-2026-56290)
Dear IT/Security Team,
We are sharing information regarding a critical vulnerability in Joomla Page Builder CK.
■ Overview
An unauthenticated arbitrary file upload vulnerability (CVE-2026-56290) exists in the `fonts.save` task of Page Builder CK. This allows an attacker to upload a PHP shell to the webroot and achieve Remote Code Execution (RCE). The CSRF token required for the request is publicly accessible on the homepage.
■ Scope
- Product: Joomla Page Builder CK (com_pagebuilderck)
- Affected Versions: <= 3.5.10
■ Remediation
1. Identify all instances of Joomla Page Builder CK in your environment.
2. Update the extension to version 3.6.0 or later immediately.
■ Reference
- CVE-2026-56290
- Vendor: https://www.joomlack.fr/
Priority: High
Deadline: Immediate
Dear IT/Security Team,
We are sharing information regarding a critical vulnerability in Joomla Page Builder CK.
■ Overview
An unauthenticated arbitrary file upload vulnerability (CVE-2026-56290) exists in the `fonts.save` task of Page Builder CK. This allows an attacker to upload a PHP shell to the webroot and achieve Remote Code Execution (RCE). The CSRF token required for the request is publicly accessible on the homepage.
■ Scope
- Product: Joomla Page Builder CK (com_pagebuilderck)
- Affected Versions: <= 3.5.10
■ Remediation
1. Identify all instances of Joomla Page Builder CK in your environment.
2. Update the extension to version 3.6.0 or later immediately.
■ Reference
- CVE-2026-56290
- Vendor: https://www.joomlack.fr/
Priority: High
Deadline: Immediate