Joomla Security Alert: Critical SQL Injection & MFA Bypass Vulnerabilities Uncovered
2025/04/11 SecurityOnline — Joomla プロジェクトが発表したのは、CMS/Database パッケージに影響を及ぼす2つの深刻な脆弱性に対処する、セキュリティ・アナウンスメントである。その内容は、SQL インジェクションの脆弱性 CVE-2025-25226 と、2要素認証バイパスの脆弱性 CVE-2025-25227 である。
2つの脆弱性のうち、より深刻な脆弱性 CVE-2025-25226 (CVSS:9.8 ) は、Joomla Database パッケージの quoteNameStr メソッドに存在する、深刻な SQLインジェクションの欠陥である。公式アナウンスメントには、「識別子の不適切な処理により、Database パッケージの quoteNameStr メソッドに、SQL インジェクション生じる可能性がある」と記されている。この脆弱性が悪用される場合には、深刻な結果にいたる可能性がある。
この脆弱性の影響が及ぶ範囲は、Database パッケージのバージョン 1.0.0~2.1.1 と 3.0.0~3.3.1 である。
その一方で Joomla は、「この、影響を受けるメソッドは保護されたものである。2.x/3.x ブランチのオリジナル・パッケージでは使用されていないため、オリジナルのデータベース・クラスを使用いている場合には、この脆弱性が悪用されることはない。ただし、この脆弱なメソッドを使用する 2.x/3.x ブランチの場合には、影響を受けるクラスを拡張するクラスにおいて、影響が生じる可能性がある」と述べている。
つまり、標準的な Joomla インストールは、リスクに直面しないかもしれないが、この脆弱なメソッドを利用するカスタムな拡張機能や、修正されたクラスにおいては、影響を受ける可能性が高い。カスタム・データベース・インタラクションを実装している管理者は、コードを慎重に精査する必要がある。
2つ目の脆弱性 CVE-2025-25227 (CVSS:7.5) は、MFA 認証のバイパスに関連するものだ。公式アナウンスメントには、「この欠陥は不十分なステート・チェックに起因し、2FA チェックのバイパスを可能にするベクターへとつながる」と記されている。それにより、MFA のセキュリティ・レイヤーを回避する攻撃者は、機密性の高いアカウントやデータへの不正アクセスを達成するかもしれない。
この脆弱性が影響が及ぶ範囲は、Joomla! CMS のバージョン 1.0.0~2.1.1 と 3.0.0~3.3.1 である。その悪用に成功した攻撃者は、MFA バイパスを達成し、影響を受ける Joomla の完全な制御を奪う可能性を手にする。
これら2つの脆弱性に対処するために、すでに Joomla はパッチ版をリリースしている。推奨される解決策は、以下のとおりである。
- CVE-2025-25226 (SQL インジェクション):Database パッケージをバージョン 2.2.0/3.4.0 にアップグレードする。
- CVE-2025-25227 (MFA バイパス):Joomla! CMS をバージョン 4.4.13/5.2.6 にアップグレードする。
Web サイト管理者に強く推奨されるのは、これらのアップデートを速やかに適用し、リスクを軽減することだ。アップデートの適用が遅滞すると、サイトが潜在的な攻撃にさらされ、データ漏洩/不正アクセスなどの損害につながる可能性がある。
最近では、2FA/MFA をバイパスする脆弱性や攻撃を目にする機会が増えており、ただ設定するだけでは不十分だと痛感させられます。今後は、ゼロトラストの考え方を取り入れた多層的な対策が、これまで以上に求められると感じます。Joomla をご利用のチームは、アップデートを忘れないよう、お気をつけください。よろしければ、MFA で検索/Zero Trust で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.