Page-Builder-CK-Sicherheitshinweis
Wenn Sie eine E-Mail von mir erhalten haben, die Sie auf diese Seite verweist, dann
deshalb, weil Ihre Website offenbar eine verwundbare Version von Page Builder CK
(Joomlacks com_pagebuilderck) einsetzt, einer Page-Builder-Erweiterung für das
Content-Management-System Joomla. Diese Seite erklärt, warum das wichtig ist und wie Sie es
beheben.
Dieser Hinweis betrifft CVE-2026-56290, eine kritische (CVSS 10.0), aktiv ausgenutzte Schwachstelle, die eine nicht authentifizierte Remote-Code-Ausführung über die Upload-Funktion des Front-End-Medienbrowsers der Erweiterung ermöglicht. Die Korrektur wurde am 27. Juni 2026 veröffentlicht, und welche Version “behoben” ist, hängt von Ihrer Joomla-Linie ab:
| Wenn Ihre Website läuft auf… | Page Builder CK ist behoben in… | Betroffen (Update nötig) |
|---|---|---|
| Joomla 3 | 3.1.1 | 3.1.0 und früher |
| Joomla 4 | 3.4.10 | 3.4.9 und früher |
| Joomla 5 oder 6 | 3.6.0 | 3.5.10 und früher |
Wenn Sie eine betroffene Version einsetzen, aktualisieren Sie so bald wie möglich auf die behobene Version für Ihre Joomla-Linie. Da dies als Zero-Day ausgenutzt wurde, sollten Sie Ihre Website außerdem auf Anzeichen einer Kompromittierung prüfen (siehe Wenn Sie eine betroffene Version genutzt haben weiter unten).
Dies ist eine Schwachstelle einer Erweiterung, nicht des Joomla-Kerns. Ein vollständig aktueller Joomla-Kern schützt Sie nicht, wenn die Erweiterung Page Builder CK selbst veraltet ist.
Hinweis zu den Versionsnummern. Page Builder CK verwendet dieselben Versionsnummern über verschiedene Joomla-Versionen hinweg, daher sagt Ihnen die Nummer allein nicht, ob Sie sicher sind: es hängt von Ihrer Joomla-Version ab. Zum Beispiel ist 3.1.2 ein behobener Build auf Joomla 3, aber eine Website auf Joomla 5 benötigt 3.6.0 oder neuer. Die obige Tabelle ist genau aus diesem Grund an Ihrer Joomla-Linie ausgerichtet.
Ist diese Nachricht seriös?
Ja. Dies ist ein Hinweis nach Treu und Glauben im Sinne der verantwortungsvollen Offenlegung von einem unabhängigen Sicherheitsforscher. Ich bitte Sie nicht um Geld, Passwörter oder Zugang zu Ihrer Website, und ich habe nicht versucht, in sie einzudringen, etwas hochzuladen oder etwas auszunutzen.
Ich habe lediglich öffentlich sichtbare Dateien betrachtet, die Ihre Website jedem Besucher bereitstellt (so wie auch Ihre Startseite öffentlich ist), und die Versionsnummer notiert, die die Erweiterung Page Builder CK in diesen Dateien veröffentlicht. Die verwundbare Upload-Funktion habe ich ausdrücklich nicht berührt. Nichts an dieser Prüfung berührt Ihre Daten, Ihren Administrationsbereich oder irgendeinen privaten Teil Ihrer Website.
Wenn Sie überprüfen möchten, wer ich bin, sehen Sie sich die Kontaktdaten am Ende dieser Seite und die Über-Seite an.
Warum das wichtig ist
Page Builder CK ist ein weit verbreiteter Drag-and-Drop-Page-Builder für Joomla. In betroffenen Versionen stellt der Front-End-Medienbrowser der Erweiterung eine Upload-Aktion bereit, die ohne Anmeldung und ohne gültige Sicherheitsprüfung erreicht werden kann: Dem Upload-Handler fehlte die Autorisierungsprüfung, die ihn auf Redakteure beschränken sollte. Das erlaubt es einem Angreifer, ein Programm seiner Wahl hochzuladen und auf Ihrem Server auszuführen: vollständige Remote-Code-Ausführung.
Dies ist kein theoretisches Risiko. Die Schwachstelle wurde mit 10,0 von 10 bewertet, wurde als Zero-Day in freier Wildbahn ausgenutzt (wobei Angreifer webbasierte Hintertüren für dauerhaften Zugriff hinterließen) und wurde am 7. Juli 2026 in den Katalog Known Exploited Vulnerabilities der US-amerikanischen Cybersecurity and Infrastructure Security Agency aufgenommen.
Wenn meine E-Mail dieses Problem genannt hat, bedeutet das, dass die Version, die Ihre Website meldet, in den für Ihre Joomla-Linie betroffenen Bereich fällt. Ich habe nicht getestet, ob Ihre konkrete Website ausnutzbar oder bereits kompromittiert ist, sondern nur, dass sie eine betroffene Version meldet.
Die gute Nachricht: Ein Update auf eine behobene Version schließt die Lücke, und das Update ist unkompliziert.
So prüfen Sie Ihre Version
Sie müssen mir nicht glauben, welche Version Sie einsetzen.
Aus dem öffentlichen Manifest (keine Anmeldung nötig): öffnen Sie
ihredomain.de/administrator/components/com_pagebuilderck/pagebuilderck.xml in einem
Browser. Die <version>-Zeile ist die Version, die Ihre Page-Builder-CK-Installation
meldet, und dies ist dieselbe öffentliche Datei, die ich gelesen habe.
Aus dem Administrationsbereich (falls Sie Zugang haben):
- Melden Sie sich in Ihrer Joomla-Administration an (üblicherweise unter
ihredomain.de/administrator). - Gehen Sie zu System dann Verwalten dann Erweiterungen (oder Erweiterungen dann Verwalten, je nach Joomla-Version).
- Suchen Sie nach Page Builder CK und notieren Sie die installierte Version.
Vergleichen Sie diese Nummer mit der Tabelle am Anfang dieser Seite für Ihre Joomla-Linie. Wenn Sie auf oder über der behobenen Version für Ihre Linie liegen (3.1.1 auf Joomla 3, 3.4.10 auf Joomla 4, 3.6.0 auf Joomla 5/6), sind Sie gepatcht; wenn Sie darunter liegen, sollten Sie aktualisieren.
So aktualisieren Sie
Der sicherste Weg ist die Aktualisierung über Joomla selbst, und zwar nach einer Sicherung:
- Sichern Sie Ihre Website (Dateien und Datenbank), bevor Sie Änderungen vornehmen. Die meisten Hosting-Anbieter bieten Ein-Klick-Sicherungen an, oder Sie verwenden eine Joomla-Backup-Erweiterung.
- Öffnen Sie in der Joomla-Administration Erweiterungen dann Verwalten dann Aktualisieren und klicken Sie auf Updates suchen. Wenn ein Page-Builder-CK-Update aufgeführt ist, installieren Sie es von hier aus: Joomla bietet Ihnen automatisch den korrekten Build für Ihre Joomla-Linie an.
- Wenn dort kein Update erscheint, laden Sie die aktuelle Version direkt vom Hersteller Joomlack unter https://www.joomlack.fr/en/joomla-extensions/page-builder-ck herunter und installieren Sie sie über Erweiterungen dann Installieren.
- Bestätigen Sie nach dem Update die neue Versionsnummer (die behobene Version für Ihre Joomla-Linie) anhand der obigen Schritte und prüfen Sie, ob Ihre Website normal lädt und sich bearbeiten lässt.
Wenn Sie schon dabei sind, lohnt es sich zu bestätigen, dass Joomla selbst und Ihre übrigen Erweiterungen aktuell sind, denn dasselbe Prinzip gilt für alle.
Wenn Sie eine betroffene Version genutzt haben
Da diese Schwachstelle ausgenutzt wurde, bevor eine Korrektur verfügbar war, sollte eine Website, die eine betroffene Version einsetzte, nicht davon ausgehen, dass ein bloßes Update ausreicht. Das Update schließt die Lücke, aber es entfernt nicht, was ein Angreifer möglicherweise bereits hochgeladen hat. Sie (oder Ihr Webmaster) sollten außerdem prüfen, ob in die Website bereits eingebrochen wurde:
- Unerwartete Dateien auf dem Server. Ein Angriff über einen nicht authentifizierten
Upload hinterlässt Dateien, die der Angreifer platziert hat: meist
.php-Dateien (Web-Shells) in beschreibbaren Upload- und Medienverzeichnissen, etwa unter/images/,/media/oder dem Medienverzeichnis von Page Builder CK (/media/com_pagebuilderck/). Suchen Sie nach Skriptdateien mit zufällig wirkenden Namen oder nach Dateien, deren Änderungsdatum mit dem Zeitpunkt übereinstimmt, zu dem die Website möglicherweise angegriffen wurde, und entfernen Sie alle, die Sie nicht zuordnen können. - Unbefugte Administratorkonten. Datei-Upload-Angriffe werden häufig genutzt, um versteckte Super-User-Konten für dauerhaften Zugriff anzulegen. Überprüfen Sie Ihre Benutzerliste unter Benutzer dann Verwalten und entfernen Sie alle, die Sie nicht wiedererkennen.
- Unerwartete Änderungen. Veränderte Kerndateien, neue geplante Aufgaben oder unbekannte Template-Overrides können auf eine Hintertür hindeuten, die das Erweiterungs-Update übersteht.
Wenn Sie etwas davon finden, behandeln Sie die Website als kompromittiert: entfernen Sie die schädlichen Dateien und Konten, wechseln Sie alle Zugangsdaten (Joomla-Administration, Datenbank, FTP/SSH, Hosting-Panel), erzwingen Sie eine erneute Anmeldung aller Benutzer und ziehen Sie in Betracht, aus einer als sauber bekannten Sicherung wiederherzustellen, die vor dem Einbruch erstellt wurde. Wenn Ihre Organisation ein IT-Sicherheitsteam oder ein nationales CERT hat, beziehen Sie diese mit ein.
Um es klar zu sagen: Ich habe Ihre Website nicht auf eines dieser Anzeichen geprüft, und ich weiß nicht, ob Ihre Website betroffen war. Diese Liste steht hier, damit Sie selbst nachsehen können.
Ich habe keinen Webmaster / ich komme nicht weiter
Wenn Sie nicht die Person sind, die die Website betreut, leiten Sie diese Seite bitte an diejenige Person weiter, die das tut (Ihr Webentwickler, Ihre Agentur oder Ihr Hosting-Anbieter). Sie wird die obigen Schritte schnell wiedererkennen.
Wenn Sie die Website selbst betreuen und nicht weiterkommen, helfe ich Ihnen gerne kostenlos, in die richtige Richtung zu finden. Melden Sie sich über die Kontaktdaten unten.
Kontakt
Evan Harris, Sicherheitsforscher
- E-Mail: security@mail.mcpsec.dev
- X: @Evan__Harris
- GitHub: eharris128
- LinkedIn: Evan Harris
Ich wende mich bei Problemen wie diesem ausschließlich deshalb an Betreiber, um ihnen zu helfen, ihre Websites abzusichern. Wenn Sie nicht erneut kontaktiert werden möchten, teilen Sie mir das einfach mit, und ich werde das respektieren.
Quellen
Offizielle Hinweise und Nachverfolgung
- NVD-Eintrag (CVE-2026-56290)
- CISA-Katalog bekannter ausgenutzter Schwachstellen
- CISA-Warnung (7. Juli 2026)
Hersteller (Joomlack)