脆弱性・事例

【緊急】Joomla!の認証バイパス脆弱性CVE-2023-23752、悪用確率95%の実態と対策

admin · · 最終更新 2026年5月17日 · 6 min read

Joomla! Auth Bypass

2023 年 2 月に公表された CVE-2023-23752 は、Joomla! 4.0.0〜4.2.7 系で発生する認証バイパス脆弱性で、未認証の攻撃者が Web Services API を経由して機微情報を直接取得できる。EPSS スコアは 95% に達し、現時点でも世界中の Joomla! サイトに対するスキャン・悪用が観測されている。日本国内でも多数の公的機関・中堅企業サイトが Joomla! を採用しており、未対応サイトは至急の確認が必要だ。

概要

  • 識別子:CVE-2023-23752 / JVN VU#xxx
  • CVSS v3.1:5.3(中)— ただし悪用容易性は極めて高い
  • 影響を受けるバージョン:Joomla! 4.0.0〜4.2.7
  • 修正バージョン:Joomla! 4.2.8 以降
  • 悪用観測:CISA KEV 収録、EPSS 95%

技術的な詳細

脆弱性のメカニズム

Joomla! 4.x で新規導入された Web Services API(/api/index.php 配下)は、本来であれば認証トークンを必要とする内部リソースに対し、特定の URL パラメータが付与されるだけで認可チェックを通過してしまう実装になっていた。public=true 相当の指定によって、本来は管理者権限を要する usersconfig/application 等のエンドポイントが、未認証クライアントから読み出せる状態になる。

攻撃ベクター(典型例)

  • GET /api/index.php/v1/config/application?public=true — データベース接続情報、SMTP 認証情報、Secret Key を含む環境設定が返却される
  • GET /api/index.php/v1/users?public=true — 管理者を含むユーザー一覧(ユーザー名・メールアドレス・登録日時等)を取得
  • 取得したデータベース認証情報・Secret Key は、サイト乗っ取り、ハッシュ解読、二次攻撃(SSRF・RCE)の足掛かりに転用される

影響範囲

  • 4.0.0 以降の Joomla! を運用するすべてのサイト(4.2.8 未満)
  • API 機能を明示的に無効化していない大半のインストールが該当
  • Joomla! 3.x 系は別系統で本脆弱性の対象外

検知のヒント

  • Web サーバーログで /api/index.php/v1/config/application および /api/index.php/v1/users に対するアクセスを検索
  • ?public=true または同等のパラメータを含むリクエストを抽出
  • SIEM ルールでは「Joomla API への未認証アクセス」をシグネチャ化(多くの WAF ベンダーが配布済み)

推奨される技術的対応

  • 即時:Joomla! 4.2.8 以降にアップグレード。アップグレード前に configuration.php の Secret Key、DB パスワード、SMTP 認証情報をすべてローテーションする
  • 暫定:パッチ適用が即時不可能な場合、Web Services API を無効化する(管理画面 → コンポーネント → API モジュール)か、WAF / リバースプロキシで /api/ 配下を社内 IP のみに制限
  • 事後確認:ログを過去 6〜12 か月遡って、上記エンドポイントへの不審アクセスがあれば情報漏えいインシデントとして取り扱う

非エンジニア向け — 経営・管理部門に向けた解説

何が問題か(1 分で)

自社が Joomla! という Web サイト構築システム(CMS)を使っている場合、特定のバージョンでは「鍵をかけ忘れた裏口」が開いており、誰でもインターネット越しにユーザー情報や設定ファイルを読み取れる状態になっています。すでに世界中の攻撃者がこの裏口を狙ったスキャンを継続しており、放置している期間は確実にリスクが累積します。

自社への影響を判断する

  • 自社の Web サイトが Joomla! で構築されているかをまず確認する(IT 部門・Web 制作会社に問い合わせ)
  • Joomla! を使っている場合、バージョンが 4.2.8 以降であれば本件は対応済み
  • 4.0〜4.2.7 のままなら、本日中の対応が望ましい
  • 「2 年以上 Web サイトを更新していない」という状況は要注意。古い CMS の脆弱性が複数累積している可能性が高い

IT 部門・制作会社に確認すべき 3 つの質問

  • 「当社の Web サイトの CMS の種類と現バージョンを教えてください」
  • 「CVE-2023-23752 への対応状況と、対応完了の予定日を教えてください」
  • 「過去 6 か月以内に /api/ 配下への異常アクセスログがあるかを確認し、結果を共有してください」

経営判断のポイント

  • 仮に情報漏えいが発生した場合、漏れる情報は「管理者を含むユーザー情報」「データベース接続情報」「Secret Key」など。会員情報を扱うサイトでは個人情報保護法の報告義務に直結する
  • 「Web サイトの保守を委託しているから大丈夫」という前提が成立しているか、保守契約に「脆弱性対応の SLA」が明記されているかを確認すべきタイミング
  • Joomla! に限らず、CMS バージョン管理を年次見直し項目に組み込むことが、同種脆弱性への組織的な備えになる

出典・関連リンク

本記事は公開情報に基づき Omamori AI 編集部が執筆しました。実際の対応にあたっては、自社環境の構成と影響範囲を踏まえ、ベンダー公式情報および JPCERT/CC・CISA 等の公的勧告を必ず確認してください。

SHARE 𝕏 in f
編集部
Omamori AI 編集部
CISO・情シス・経営層向けに、AIセキュリティの一次情報を編集視点で整理

あわせて読みたい

記事の論点を、自社のリスク評価に

90秒の自己診断 or CISO/情シス向け月次レビュー(顧問契約)でアクションに繋げます。

無料 90秒 自己診断 顧問契約 詳細