Pokud jste ode mne dostali e-mail, který vás odkázal na tuto stránku, pak proto, že váš web zřejmě používá zranitelnou verzi rozšíření Page Builder CK (com_pagebuilderck od Joomlacku), rozšíření pro tvorbu stránek pro redakční systém Joomla. Tato stránka vysvětluje, proč na tom záleží a jak to opravit.

Toto upozornění se týká CVE-2026-56290, kritické (CVSS 10.0), aktivně zneužívané zranitelnosti, která umožňuje neautentizované vzdálené spuštění kódu prostřednictvím funkce rozšíření pro nahrávání přes front-endový prohlížeč médií. Oprava vyšla dne 27. června 2026 a to, která verze je „opravená“, závisí na vaší řadě Joomly:

Pokud váš web používá… Page Builder CK je opraven ve verzi… Dotčené (nutná aktualizace)
Joomla 3 3.1.1 3.1.0 a starší
Joomla 4 3.4.10 3.4.9 a starší
Joomla 5 nebo 6 3.6.0 3.5.10 a starší

Pokud používáte dotčenou verzi, aktualizujte na opravené vydání pro vaši řadu Joomly co nejdříve. Protože tato zranitelnost byla zneužita jako zero-day, měli byste také zkontrolovat svůj web na příznaky napadení (viz Pokud jste používali dotčenou verzi níže).

Jde o zranitelnost rozšíření, nikoli jádra Joomly. Plně aktuální jádro Joomly vás neochrání, pokud je samotné rozšíření Page Builder CK zastaralé.

Poznámka k číslům verzí. Page Builder CK používá stejná čísla verzí napříč různými vydáními Joomly, takže samotné číslo vám neřekne, zda jste v bezpečí: záleží na vaší verzi Joomly. Například 3.1.2 je opravené sestavení na Joomle 3, ale web na Joomle 5 potřebuje 3.6.0 nebo novější. Tabulka výše je právě z tohoto důvodu navázána na vaši řadu Joomly.

Je tato zpráva důvěryhodná?

Ano. Jde o upozornění v dobré víře podle zásad zodpovědného zveřejňování od nezávislého bezpečnostního výzkumníka. Nežádám vás o peníze, hesla ani přístup k vašemu webu a nepokoušel jsem se do něj proniknout, cokoli nahrát ani cokoli zneužít.

Pouze jsem se podíval na veřejně viditelné soubory, které váš web poskytuje každému návštěvníkovi (stejně jako je veřejná vaše úvodní stránka), a zaznamenal jsem číslo verze, které rozšíření Page Builder CK v těchto souborech zveřejňuje. Zranitelné funkce pro nahrávání jsem se výslovně nedotkl. Nic na této kontrole se nedotýká vašich dat, vaší administrace ani žádné soukromé části vašeho webu.

Pokud si chcete ověřit, kdo jsem, podívejte se na kontaktní údaje v dolní části této stránky a na stránku O této stránce.

Proč na tom záleží

Page Builder CK je velmi rozšířený nástroj pro tvorbu stránek metodou drag-and-drop pro Joomlu. V dotčených verzích vystavuje front-endový prohlížeč médií rozšíření akci pro nahrávání, kterou lze dosáhnout bez přihlášení a bez platné bezpečnostní kontroly: obsluze nahrávání chyběla autorizační kontrola, která by ji měla omezit na editory. To umožňuje útočníkovi nahrát program dle jeho volby a spustit jej na vašem serveru: plné vzdálené spuštění kódu.

Nejde o teoretické riziko. Zranitelnost byla ohodnocena 10,0 z 10, byla zneužita v reálném provozu jako zero-day (útočníci přitom umísťovali webová zadní vrátka pro trvalý přístup) a dne 7. července 2026 byla zařazena do katalogu Known Exploited Vulnerabilities americké agentury Cybersecurity and Infrastructure Security Agency.

Pokud můj e-mail tento problém uváděl, znamená to, že verze, kterou váš web hlásí, spadá do dotčeného rozsahu pro vaši řadu Joomly. Netestoval jsem, zda je konkrétně váš web zneužitelný nebo již napadený, pouze to, že hlásí dotčenou verzi.

Dobrá zpráva: aktualizace na opravenou verzi tuto díru uzavře a aktualizace je jednoduchá.

Jak zkontrolovat svou verzi

Nemusíte mi věřit, jakou verzi používáte.

Z veřejného manifestu (bez přihlášení): otevřete v prohlížeči vasedomena.cz/administrator/components/com_pagebuilderck/pagebuilderck.xml. Řádek <version> je verze, kterou vaše instalace Page Builderu CK hlásí, a jde o stejný veřejný soubor, který jsem četl.

Z administrace (pokud máte přístup):

  1. Přihlaste se do administrace Joomly (obvykle na adrese vasedomena.cz/administrator).
  2. Přejděte na Systém poté Správa poté Rozšíření (nebo Rozšíření poté Správa, podle verze vaší Joomly).
  3. Vyhledejte Page Builder CK a poznamenejte si nainstalovanou verzi.

Porovnejte toto číslo s tabulkou v horní části této stránky pro vaši řadu Joomly. Pokud jste na opravené verzi pro vaši řadu nebo výše (3.1.1 na Joomle 3, 3.4.10 na Joomle 4, 3.6.0 na Joomle 5/6), máte opraveno; pokud jste níže, měli byste aktualizovat.

Jak aktualizovat

Nejbezpečnější cestou je aktualizace přímo přes Joomlu, a to po předchozí záloze:

  1. Zazálohujte svůj web (soubory a databázi) před provedením změn. Většina poskytovatelů hostingu nabízí zálohy na jedno kliknutí, případně použijte zálohovací rozšíření pro Joomlu.
  2. V administraci Joomly otevřete Rozšíření poté Správa poté Aktualizace a klikněte na Najít aktualizace. Pokud je aktualizace Page Builderu CK uvedena, nainstalujte ji odsud: Joomla automaticky nabídne správné sestavení pro vaši řadu Joomly.
  3. Pokud se tam žádná aktualizace neobjeví, stáhněte si nejnovější vydání přímo od dodavatele, Joomlacku, na https://www.joomlack.fr/en/joomla-extensions/page-builder-ck a nainstalujte je přes Rozšíření poté Instalovat.
  4. Po aktualizaci potvrďte nové číslo verze (opravené vydání pro vaši řadu Joomly) podle výše uvedených kroků a zkontrolujte, že se váš web běžně načítá a upravuje.

Když už jste u toho, vyplatí se ověřit, že je aktuální i samotná Joomla a vaše ostatní rozšíření, protože stejná zásada platí pro všechna.

Pokud jste používali dotčenou verzi

Protože tato zranitelnost byla zneužívána dříve, než byla k dispozici oprava, web, který provozoval dotčenou verzi, by neměl předpokládat, že pouhá aktualizace stačí. Aktualizace díru uzavře, ale neodstraní nic, co již útočník mohl nahrát. Vy (nebo váš webmaster) byste měli také zkontrolovat, zda do webu nebylo proniknuto:

  • Neočekávané soubory na serveru. Útok neautentizovaným nahráváním zanechává soubory, které útočník umístil, nejčastěji soubory .php (webshelly) v zapisovatelných adresářích pro nahrávání a média, například pod /images/, /media/ nebo v adresáři médií Page Builderu CK (/media/com_pagebuilderck/). Hledejte skriptové soubory s náhodně vypadajícími názvy nebo soubory, jejichž datum úpravy odpovídá době, kdy mohl být web napaden, a odstraňte všechny, které si nedokážete vysvětlit.
  • Podvržené administrátorské účty. Útoky přes nahrávání souborů se často používají k vytvoření skrytých účtů typu Super User pro trvalý přístup. Zkontrolujte svůj seznam uživatelů v Uživatelé poté Správa a odstraňte všechny, které nepoznáváte.
  • Neočekávané změny. Změněné soubory jádra, nové naplánované úlohy nebo neznámé přepisy šablon mohou naznačovat zadní vrátka, která aktualizaci rozšíření přežijí.

Pokud cokoli z tohoto najdete, považujte web za napadený: odstraňte podvržené soubory a účty, změňte všechny přístupové údaje (administrace Joomly, databáze, FTP/SSH, hostingový panel), vynuťte opětovné přihlášení všech uživatelů a zvažte obnovení ze zálohy o níž je známo, že je čistá, pořízené před vniknutím. Pokud má vaše organizace tým pro IT bezpečnost nebo národní CERT, zapojte je.

Chci to říct jasně: váš web jsem na žádný z těchto příznaků nekontroloval a nevím, zda byl váš web postižen. Tento seznam je zde, abyste si mohli zkontrolovat sami.

Nemám webmastera / nevím si rady

Pokud nejste tou osobou, která web spravuje, přepošlete prosím tuto stránku tomu, kdo to dělá (vašemu vývojáři webu, agentuře nebo poskytovateli hostingu). Výše uvedené kroky rychle rozpozná.

Pokud web spravujete sami a zaseknete se, rád vám zdarma pomohu nasměrovat se správným směrem. Ozvěte se pomocí kontaktních údajů níže.

Kontakt

Evan Harris, bezpečnostní výzkumník

Na provozovatele se s problémy, jako je tento, obracím výhradně proto, abych jim pomohl zabezpečit jejich weby. Pokud si nepřejete být znovu kontaktováni, stačí mi to sdělit a budu to respektovat.

Zdroje

Oficiální upozornění a evidence

Dodavatel (Joomlack)