Bezpečnostní upozornění k SP Page Builderu
Pokud jste ode mne dostali e-mail, který vás odkázal na tuto stránku, pak proto, že váš web
zřejmě používá zranitelnou verzi rozšíření SP Page Builder (com_sppagebuilder od
JoomShaperu), rozšíření pro tvorbu stránek pro redakční systém Joomla. Tato stránka
vysvětluje, proč na tom záleží a jak to opravit.
Toto upozornění se týká CVE-2026-48908, kritické (CVSS 10.0), aktivně zneužívané zranitelnosti, která umožňuje neautentizované vzdálené spuštění kódu prostřednictvím funkce rozšíření pro nahrávání vlastních ikon. Postihuje verze SP Page Builderu 4.0.0 až 6.6.1 a je opravena ve verzi 6.6.2. (Dotčená funkce pro nahrávání vlastních ikon byla zavedena v SP Page Builderu 4.0, takže řada 1.x, 2.x a 3.x (jakékoli vydání před 4.0) ji neobsahuje a tímto problémem není postižena.) Pokud používáte dotčenou verzi, aktualizujte co nejdříve na SP Page Builder 6.6.2 nebo novější. Protože tato zranitelnost byla zneužita jako zero-day, měli byste také zkontrolovat svůj web na příznaky napadení (viz Pokud jste používali dotčenou verzi níže).
Jde o zranitelnost rozšíření, nikoli jádra Joomly. Postihuje stejně weby na Joomle 3, 4, 5 i 6: plně aktuální jádro Joomly vás neochrání, pokud je samotné rozšíření SP Page Builder zastaralé.
Je tato zpráva důvěryhodná?
Ano. Jde o upozornění v dobré víře podle zásad zodpovědného zveřejňování od nezávislého bezpečnostního výzkumníka. Nežádám vás o peníze, hesla ani přístup k vašemu webu a nepokoušel jsem se do něj proniknout, cokoli nahrát ani cokoli zneužít.
Pouze jsem se podíval na veřejně viditelné soubory, které váš web poskytuje každému návštěvníkovi (stejně jako je veřejná vaše úvodní stránka), a zaznamenal jsem číslo verze, které rozšíření SP Page Builder v těchto souborech zveřejňuje. Zranitelné funkce pro nahrávání jsem se výslovně nedotkl. Nic na této kontrole se nedotýká vašich dat, vaší administrace ani žádné soukromé části vašeho webu.
Pokud si chcete ověřit, kdo jsem, podívejte se na kontaktní údaje v dolní části této stránky a na stránku O této stránce.
Proč na tom záleží
SP Page Builder je velmi rozšířený nástroj pro tvorbu stránek metodou drag-and-drop pro Joomlu. V dotčených verzích lze funkci, která má administrátorům umožnit nahrát vlastní sadu ikon, dosáhnout bez přihlášení a bez jakéhokoli bezpečnostního tokenu, přičemž nekontroluje řádně, jaký druh souboru se nahrává. Tato kombinace umožňuje útočníkovi nahrát program dle jeho volby a spustit jej na vašem serveru: plné vzdálené spuštění kódu.
Nejde o teoretické riziko. Zranitelnost byla ohodnocena 10,0 z 10, byla zneužita v reálném provozu jako zero-day a dne 7. července 2026 byla zařazena do katalogu Known Exploited Vulnerabilities americké agentury Cybersecurity and Infrastructure Security Agency, s federální lhůtou pro opravu do 10. července 2026. Reálné útoky využívající tuto zranitelnost nainstalovaly skryté administrátorské účty a webová zadní vrátka pro trvalý přístup.
Pokud můj e-mail tento problém uváděl, znamená to, že verze, kterou váš web hlásí, spadá do dotčeného rozsahu. Netestoval jsem, zda je konkrétně váš web zneužitelný nebo již napadený, pouze to, že hlásí dotčenou verzi.
Dobrá zpráva: aktualizace na opravenou verzi tuto díru uzavře a aktualizace je jednoduchá.
Jak zkontrolovat svou verzi
Nemusíte mi věřit, jakou verzi používáte.
Z veřejného manifestu (bez přihlášení): otevřete v prohlížeči
vasedomena.cz/administrator/components/com_sppagebuilder/sppagebuilder.xml. Řádek
<version> je verze, kterou vaše instalace SP Page Builderu hlásí, a jde o stejný veřejný
soubor, který jsem četl.
Z administrace (pokud máte přístup):
- Přihlaste se do administrace Joomly (obvykle na adrese
vasedomena.cz/administrator). - Přejděte na Systém poté Správa poté Rozšíření (nebo Rozšíření poté Správa, podle verze vaší Joomly).
- Vyhledejte SP Page Builder a poznamenejte si nainstalovanou verzi.
Pokud je verze mezi 4.0.0 a 6.6.1, používáte dotčenou verzi a měli byste aktualizovat. 6.6.2 a novější jsou opravené a verze před 4.0.0 dotčenou funkci nemají (jsou však již nepodporované a z jiných důvodů stojí za aktualizaci).
Jak aktualizovat
Nejbezpečnější cestou je aktualizace přímo přes Joomlu, a to po předchozí záloze:
- Zazálohujte svůj web (soubory a databázi) před provedením změn. Většina poskytovatelů hostingu nabízí zálohy na jedno kliknutí, případně použijte zálohovací rozšíření pro Joomlu.
- V administraci Joomly otevřete Rozšíření poté Správa poté Aktualizace a klikněte na Najít aktualizace. Pokud je aktualizace SP Page Builderu uvedena, nainstalujte ji odsud.
- Pokud se tam žádná aktualizace neobjeví, stáhněte si nejnovější vydání přímo od dodavatele, JoomShaper, na https://www.joomshaper.com/page-builder a nainstalujte je přes Rozšíření poté Instalovat.
- Po aktualizaci potvrďte nové číslo verze (6.6.2 nebo novější) podle výše uvedených kroků a zkontrolujte, že se váš web běžně načítá a upravuje.
Když už jste u toho, vyplatí se ověřit, že je aktuální i samotná Joomla a vaše ostatní rozšíření, protože stejná zásada platí pro všechna.
Pokud jste používali dotčenou verzi
Protože tato zranitelnost byla zneužívána dříve, než byla k dispozici oprava, web, který provozoval dotčenou verzi, by neměl předpokládat, že pouhá aktualizace stačí. Měli byste také zkontrolovat, zda do webu již nebylo proniknuto. Veřejně zdokumentované útoky využívající tuto zranitelnost zanechaly tyto stopy, které vy (nebo váš webmaster) můžete na svém vlastním webu vyhledat:
- Podvržené administrátorské účty. Útočníci vytvářeli skryté účty typu Super User,
často s e-mailovými adresami končícími na
@secure.locala uživatelskými jmény jakowebeditor,contentmgr,sysadmin,webmaster,portaladmin,siteeditor,webmanagernebocmsadmin(často se dvěma číslicemi na konci, např.webeditor48). Zkontrolujte svůj seznam uživatelů v Uživatelé poté Správa a odstraňte všechny, které nepoznáváte. - Soubory zadních vrátek. Neočekávané soubory PHP v adresáři
/media/com_sppagebuilder/assets/iconfont/nebo zbloudilé soubory jako/media/com_admin/users.phpnebo/media/regularlabs/users.php. Rozšířená zadní vrátka se uvnitř souboru identifikují textem “PHP File manager”.
Pokud cokoli z tohoto najdete, považujte web za napadený: odstraňte podvržené účty a soubory, změňte všechny přístupové údaje (administrace Joomly, databáze, FTP/SSH, hostingový panel), vynuťte opětovné přihlášení všech uživatelů a zvažte obnovení ze zálohy o níž je známo, že je čistá, pořízené před vniknutím. Pokud má vaše organizace tým pro IT bezpečnost nebo národní CERT, zapojte je.
Chci to říct jasně: váš web jsem na žádný z těchto příznaků nekontroloval a nevím, zda byl váš web postižen. Tento seznam je zde, abyste si mohli zkontrolovat sami.
Nemám webmastera / nevím si rady
Pokud nejste tou osobou, která web spravuje, přepošlete prosím tuto stránku tomu, kdo to dělá (vašemu vývojáři webu, agentuře nebo poskytovateli hostingu). Výše uvedené kroky rychle rozpozná.
Pokud web spravujete sami a zaseknete se, rád vám zdarma pomohu nasměrovat se správným směrem. Ozvěte se pomocí kontaktních údajů níže.
Kontakt
Evan Harris, bezpečnostní výzkumník
- E-mail: security@mail.mcpsec.dev
- X: @Evan__Harris
- GitHub: eharris128
- LinkedIn: Evan Harris
Na provozovatele se s problémy, jako je tento, obracím výhradně proto, abych jim pomohl zabezpečit jejich weby. Pokud si nepřejete být znovu kontaktováni, stačí mi to sdělit a budu to respektovat.
Zdroje
Oficiální upozornění a evidence
- Záznam v NVD (CVE-2026-48908)
- GitHub Advisory Database (GHSA-8fwr-8fxr-8v2p)
- Katalog známých zneužívaných zranitelností CISA
- Upozornění CISA (7. července 2026)
Dodavatel (JoomShaper)
Zpravodajství a analýza