Wenn Sie eine E-Mail von mir erhalten haben, die Sie auf diese Seite verweist, dann deshalb, weil Ihre Website offenbar eine verwundbare Version von SP Page Builder (JoomShapers com_sppagebuilder) einsetzt, einer Page-Builder-Erweiterung für das Content-Management-System Joomla. Diese Seite erklärt, warum das wichtig ist und wie Sie es beheben.

Dieser Hinweis betrifft CVE-2026-48908, eine kritische (CVSS 10.0), aktiv ausgenutzte Schwachstelle, die eine nicht authentifizierte Remote-Code-Ausführung über die Funktion zum Hochladen benutzerdefinierter Symbole (Custom Icons) der Erweiterung ermöglicht. Sie betrifft die SP-Page-Builder-Versionen 4.0.0 bis 6.6.1 und ist in 6.6.2 behoben. (Die betroffene Funktion zum Hochladen benutzerdefinierter Symbole wurde in SP Page Builder 4.0 eingeführt, daher enthalten die Linien 1.x, 2.x und 3.x (jede Version vor 4.0) sie nicht und sind von diesem Problem nicht betroffen.) Wenn Sie eine betroffene Version einsetzen, aktualisieren Sie so bald wie möglich auf SP Page Builder 6.6.2 oder neuer. Da dies als Zero-Day ausgenutzt wurde, sollten Sie Ihre Website außerdem auf Anzeichen einer Kompromittierung prüfen (siehe Wenn Sie eine betroffene Version genutzt haben weiter unten).

Dies ist eine Schwachstelle einer Erweiterung, nicht des Joomla-Kerns. Sie betrifft Websites auf Joomla 3, 4, 5 und 6 gleichermaßen: Ein vollständig aktueller Joomla-Kern schützt Sie nicht, wenn die Erweiterung SP Page Builder selbst veraltet ist.

Ist diese Nachricht seriös?

Ja. Dies ist ein Hinweis nach Treu und Glauben im Sinne der verantwortungsvollen Offenlegung von einem unabhängigen Sicherheitsforscher. Ich bitte Sie nicht um Geld, Passwörter oder Zugang zu Ihrer Website, und ich habe nicht versucht, in sie einzudringen, etwas hochzuladen oder etwas auszunutzen.

Ich habe lediglich öffentlich sichtbare Dateien betrachtet, die Ihre Website jedem Besucher bereitstellt (so wie auch Ihre Startseite öffentlich ist), und die Versionsnummer notiert, die die Erweiterung SP Page Builder in diesen Dateien veröffentlicht. Die verwundbare Upload-Funktion habe ich ausdrücklich nicht berührt. Nichts an dieser Prüfung berührt Ihre Daten, Ihren Administrationsbereich oder irgendeinen privaten Teil Ihrer Website.

Wenn Sie überprüfen möchten, wer ich bin, sehen Sie sich die Kontaktdaten am Ende dieser Seite und die Über-Seite an.

Warum das wichtig ist

SP Page Builder ist ein sehr weit verbreiteter Drag-and-Drop-Page-Builder für Joomla. In betroffenen Versionen kann eine Funktion, die es Administratoren ermöglichen soll, einen eigenen Symbolsatz hochzuladen, ohne Anmeldung und ohne jeglichen Sicherheitstoken erreicht werden, und sie prüft nicht ordnungsgemäß, welche Art von Datei hochgeladen wird. Diese Kombination erlaubt es einem Angreifer, ein Programm seiner Wahl hochzuladen und auf Ihrem Server auszuführen: vollständige Remote-Code-Ausführung.

Dies ist kein theoretisches Risiko. Die Schwachstelle wurde mit 10,0 von 10 bewertet, wurde als Zero-Day in freier Wildbahn ausgenutzt und wurde am 7. Juli 2026 in den Katalog Known Exploited Vulnerabilities der US-amerikanischen Cybersecurity and Infrastructure Security Agency aufgenommen, mit einer bundesbehördlichen Patch-Frist zum

  1. Juli 2026. Reale Angriffe über diese Schwachstelle haben versteckte Administratorkonten und webbasierte Hintertüren für dauerhaften Zugriff installiert.

Wenn meine E-Mail dieses Problem genannt hat, bedeutet das, dass die Version, die Ihre Website meldet, in den betroffenen Bereich fällt. Ich habe nicht getestet, ob Ihre konkrete Website ausnutzbar oder bereits kompromittiert ist, sondern nur, dass sie eine betroffene Version meldet.

Die gute Nachricht: Ein Update auf eine behobene Version schließt die Lücke, und das Update ist unkompliziert.

So prüfen Sie Ihre Version

Sie müssen mir nicht glauben, welche Version Sie einsetzen.

Aus dem öffentlichen Manifest (keine Anmeldung nötig): öffnen Sie ihredomain.de/administrator/components/com_sppagebuilder/sppagebuilder.xml in einem Browser. Die <version>-Zeile ist die Version, die Ihre SP-Page-Builder-Installation meldet, und dies ist dieselbe öffentliche Datei, die ich gelesen habe.

Aus dem Administrationsbereich (falls Sie Zugang haben):

  1. Melden Sie sich in Ihrer Joomla-Administration an (üblicherweise unter ihredomain.de/administrator).
  2. Gehen Sie zu System dann Verwalten dann Erweiterungen (oder Erweiterungen dann Verwalten, je nach Joomla-Version).
  3. Suchen Sie nach SP Page Builder und notieren Sie die installierte Version.

Wenn die Version zwischen 4.0.0 und 6.6.1 liegt, setzen Sie eine betroffene Version ein und sollten aktualisieren. 6.6.2 und neuer sind behoben, und Versionen vor 4.0.0 haben die betroffene Funktion nicht (sie werden allerdings nicht mehr unterstützt und sind aus anderen Gründen ein Update wert).

So aktualisieren Sie

Der sicherste Weg ist die Aktualisierung über Joomla selbst, und zwar nach einer Sicherung:

  1. Sichern Sie Ihre Website (Dateien und Datenbank), bevor Sie Änderungen vornehmen. Die meisten Hosting-Anbieter bieten Ein-Klick-Sicherungen an, oder Sie verwenden eine Joomla-Backup-Erweiterung.
  2. Öffnen Sie in der Joomla-Administration Erweiterungen dann Verwalten dann Aktualisieren und klicken Sie auf Updates suchen. Wenn ein SP-Page-Builder-Update aufgeführt ist, installieren Sie es von hier aus.
  3. Wenn dort kein Update erscheint, laden Sie die aktuelle Version direkt vom Hersteller JoomShaper unter https://www.joomshaper.com/page-builder herunter und installieren Sie sie über Erweiterungen dann Installieren.
  4. Bestätigen Sie nach dem Update die neue Versionsnummer (6.6.2 oder neuer) anhand der obigen Schritte und prüfen Sie, ob Ihre Website normal lädt und sich bearbeiten lässt.

Wenn Sie schon dabei sind, lohnt es sich zu bestätigen, dass Joomla selbst und Ihre übrigen Erweiterungen aktuell sind, denn dasselbe Prinzip gilt für alle.

Wenn Sie eine betroffene Version genutzt haben

Da diese Schwachstelle ausgenutzt wurde, bevor eine Korrektur verfügbar war, sollte eine Website, die eine betroffene Version einsetzte, nicht davon ausgehen, dass ein bloßes Update ausreicht. Sie sollten außerdem prüfen, ob in die Website bereits eingebrochen wurde. Öffentlich dokumentierte Angriffe über diese Schwachstelle haben folgende Spuren hinterlassen, nach denen Sie (oder Ihr Webmaster) auf Ihrer eigenen Website suchen können:

  • Unbefugte Administratorkonten. Angreifer haben versteckte Super-User-Konten angelegt, oft mit E-Mail-Adressen, die auf @secure.local enden, und Benutzernamen wie webeditor, contentmgr, sysadmin, webmaster, portaladmin, siteeditor, webmanager oder cmsadmin (häufig mit zwei Ziffern am Ende, z. B. webeditor48). Überprüfen Sie Ihre Benutzerliste unter Benutzer dann Verwalten und entfernen Sie alle, die Sie nicht wiedererkennen.
  • Hintertür-Dateien. Unerwartete PHP-Dateien unter /media/com_sppagebuilder/assets/iconfont/ oder verirrte Dateien wie /media/com_admin/users.php oder /media/regularlabs/users.php. Eine verbreitete Hintertür weist sich mit dem Text “PHP File manager” innerhalb der Datei aus.

Wenn Sie etwas davon finden, behandeln Sie die Website als kompromittiert: entfernen Sie die unbefugten Konten und Dateien, wechseln Sie alle Zugangsdaten (Joomla-Administration, Datenbank, FTP/SSH, Hosting-Panel), erzwingen Sie eine erneute Anmeldung aller Benutzer und ziehen Sie in Betracht, aus einer als sauber bekannten Sicherung wiederherzustellen, die vor dem Einbruch erstellt wurde. Wenn Ihre Organisation ein IT-Sicherheitsteam oder ein nationales CERT hat, beziehen Sie diese mit ein.

Um es klar zu sagen: Ich habe Ihre Website nicht auf eines dieser Anzeichen geprüft, und ich weiß nicht, ob Ihre Website betroffen war. Diese Liste steht hier, damit Sie selbst nachsehen können.

Ich habe keinen Webmaster / ich komme nicht weiter

Wenn Sie nicht die Person sind, die die Website betreut, leiten Sie diese Seite bitte an diejenige Person weiter, die das tut (Ihr Webentwickler, Ihre Agentur oder Ihr Hosting-Anbieter). Sie wird die obigen Schritte schnell wiedererkennen.

Wenn Sie die Website selbst betreuen und nicht weiterkommen, helfe ich Ihnen gerne kostenlos, in die richtige Richtung zu finden. Melden Sie sich über die Kontaktdaten unten.

Kontakt

Evan Harris, Sicherheitsforscher

Ich wende mich bei Problemen wie diesem ausschließlich deshalb an Betreiber, um ihnen zu helfen, ihre Websites abzusichern. Wenn Sie nicht erneut kontaktiert werden möchten, teilen Sie mir das einfach mit, und ich werde das respektieren.

Quellen

Offizielle Hinweise und Nachverfolgung

Hersteller (JoomShaper)

Berichterstattung und Analyse