Joomla Vulnerabilities in Novarain/Tassos Framework Expose SQL Injection Risks
2026/02/16 gbhackers — Novarain/Tassos フレームワークをバンドルする、Joomla エクステンションのソースコード・レビューにより、複数の攻撃プリミティブが確認された。これらのプリミティブを連鎖させることで、パッチ未適用インスタンスにおいて、深刻なリスクが発生するという。具体的には、管理者権限の乗っ取りや、リモート・コード実行 (RCE) に関する警告が発せられている。
この脆弱性が影響を及ぼすエクステンションは、以前には Novarain フレームワークと呼ばれ、後に Tassos フレームワークへリブランドされた、システム・プラグイン plg_system_nrframework をバンドルするものである。
対象製品には Convert Forms/EngageBox/Google Structured Data/Advanced Custom Fields/Smile Pack などが含まれる。
今回のレビューで説明されたのは、このフレームワークの AJAX 処理を通じて悪用が可能な、3 つの中核プリミティブである。それらは、未認証ファイル読み取りと、未認証ファイル削除に加えて、SQL インジェクションによる任意のデータベース読み取りを可能にするものだ。
この問題の原因は、Joomla サイト・ルート配下の任意のクラス/ファイルを読み込んだ攻撃者が、その後に onAjax ハンドラを呼び出すことを可能にする、AJAX include タスク・パターンにある。これにより、公開エンドポイントとして到達できる範囲を超えて、攻撃対象領域が拡大してしまう。
このレポートでは、フレームワーク内の特定フィールド・ハンドラの、悪用の方式が概説されている。1 つ目の経路では、CSV 処理における不適切なファイル・タイプ検証により、Joomla Web ユーザーによるローカル・ファイルの読み取りが可能となる。2 つ目の経路では、AJAX の remove アクションが unlink() を介して直接的なファイル削除を実行する。3 つ目の経路では、攻撃者の影響下にあるパラメータが、データベース連携型アイテム取得ロジックに渡されることで SQL インジェクションが発生する。それにより、設定済みのデータベース・ユーザー権限内で、任意のテーブル/カラムの読み取りが可能となる。
これらのプリミティブを連鎖させることで、実用的な侵害が成立する。レポートが示すキル・チェーンでは、最初に SQL インジェクションを介して高権限セッション・データの取得/操作を実行し、管理者としての認証を通過した後に、悪意のエクステンションのアップロードとテンプレート PHP の改変を実行し、コード実行を確立する。それと同時に、ファイル・システムの侵害により、防御ゲートである “.htpasswd” などを削除し、サイトの不安定化も可能にする。
この脆弱性は、独立系の研究者である p1r0x により発見され、SSD Secure Disclosure の協力により開示された。ベンダーは公式 Downloads セクションを通じて、更新版を公開済みであると述べている。
Tassos の公式ドキュメントによると、このエクステンションは、Joomla のエクステンション・マネージャーを用いた手動でのアップデートが可能である。また、System – Tassos Framework プラグインに保存されるダウンロード・キーを介した、自動更新ワークフローによる配布とアップデートも可能である。
管理者にとって必要なことは、この脆弱性がインターネットに面したリスクであると認識し、優先的に対処することである。迅速なパッチ適用が不可能な場合には、影響を受けるエクステンションまたは plg_system_nrframework プラグインを一時的に無効化し、WAF または Web サーバー層で “?option=com_ajax” エンドポイントへのアクセスを制限すべきである。検証およびパッチ管理のために、ベンダーが公開するリリース・パッケージを追跡し、それぞれの影響を受ける製品に応じて、最新のビルドを適用することが推奨される。
報告された影響を受ける製品とバージョンは、以下の通りである。
Novarain/Tassos Framework ( plg_system_nrframework ) v4.10.14–v6.0.37
Convert Forms v3.2.12–v5.1.0
EngageBox v6.0.0–v7.1.0
Google Structured Data v5.1.7–v6.1.0
Advanced Custom Fields v2.2.0–v3.1.0
Smile Pack v1.0.0–v2.1.0
Joomla の人気エクステンション群で採用されるフレームワーク Novarain (現 Tassos) において、複数の脆弱性を組み合わせることで、サイトの管理者権限を奪取し、サーバーでの任意のコードを実行 (RCE) を引き起こすという、深刻なリスクが判明しました。この問題の原因は、フレームワークの AJAX 処理プログラム plg_system_nrframework の設計上の不備にあります。本来は外部から直接操作できないはずの内部ファイルを読み込ませる仕組みが悪用され、そこから、ファイルの読み取り、ファイルの削除、SQL インジェクション という 3 つの攻撃手段が可能になり、認証を必要としない RCE に至る状態になっています。ご利用のチームは、ご注意ください。よろしければ、Joomla での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.