🔥 この記事の詳細
2026-07-08 更新
B
今週中

Joomla Page Builder CK 3.5.10 以前に、認証なしで任意のファイルをアップロードできる脆弱性(CVE-2026-56290)

脆弱性🌐 英語ソース
🖥️ 製品Joomla
🔢 CVECVE-2026-56290
📅 2026-07-08📰 exploit_db
📌 一言でいうと
Joomla Page Builder CK 3.5.10 以前に、認証なしで任意のファイルをアップロードできる脆弱性(CVE-2026-56290)が発見されました。攻撃者は `fonts.save` タスクを悪用して、WebルートにPHPシェルなどの悪意あるファイルを書き込むことが可能です。この脆弱性を利用されると、サーバー上でリモートコード実行(RCE)が行われる危険性があります。
🔍該当判定
  • CMSに「Joomla」を利用している
  • Joomlaの拡張機能として「Page Builder CK」をインストールしている
  • Page Builder CKのバージョンが 3.5.10 以前である
上記いずれにも該当しない → 静観でOK
該当時の対応
速やかに Page Builder CK をバージョン 3.6.0 以降にアップデートしてください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Joomla Page Builder CK 任意のファイルアップロード脆弱性 (CVE-2026-56290) 対応について

お疲れさまです。Joomla Page Builder CK に関する脆弱性の情報共有です。

■ 概要
Joomla Page Builder CK の `fonts.save` タスクに認証不備があり、未認証の攻撃者が任意のPHPファイルをアップロードし、リモートコード実行 (RCE) を行うことが可能です。CSRFトークンで保護されていますが、これはホームページから容易に取得可能です。

■ 影響範囲
- 対象製品: Joomla Page Builder CK (com_pagebuilderck)
- 対象バージョン: 3.5.10 以前

■ 対応手順
1. 利用中の Page Builder CK のバージョンを確認してください。
2. 脆弱性が修正された最新バージョン (3.6.0 以降) へアップデートを適用してください。

■ 参考情報
- CVE-2026-56290
- ベンダーサイト: https://www.joomlack.fr/

対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] Arbitrary File Upload in Joomla Page Builder CK (CVE-2026-56290)

Dear IT/Security Team,

We are sharing information regarding a critical vulnerability in Joomla Page Builder CK.

■ Overview
An unauthenticated arbitrary file upload vulnerability (CVE-2026-56290) exists in the `fonts.save` task of Page Builder CK. This allows an attacker to upload a PHP shell to the webroot and achieve Remote Code Execution (RCE). The CSRF token required for the request is publicly accessible on the homepage.

■ Scope
- Product: Joomla Page Builder CK (com_pagebuilderck)
- Affected Versions: <= 3.5.10

■ Remediation
1. Identify all instances of Joomla Page Builder CK in your environment.
2. Update the extension to version 3.6.0 or later immediately.

■ Reference
- CVE-2026-56290
- Vendor: https://www.joomlack.fr/

Priority: High
Deadline: Immediate