Si recibió un correo electrónico mío que le remite a esta página, es porque su sitio web parece estar ejecutando una versión vulnerable de Page Builder CK (el com_pagebuilderck de Joomlack), una extensión de creación de páginas para el sistema de gestión de contenidos Joomla. Esta página explica por qué importa y cómo corregirlo.

Este aviso se refiere a CVE-2026-56290, una vulnerabilidad crítica (CVSS 10.0), explotada activamente, que permite la ejecución remota de código sin autenticación a través de la función de subida del explorador de medios de front-end de la extensión. La corrección se publicó el 27 de junio de 2026, y qué versión está “corregida” depende de su línea de Joomla:

Si su sitio ejecuta… Page Builder CK está corregido en… Afectado (necesita actualizar)
Joomla 3 3.1.1 3.1.0 y anteriores
Joomla 4 3.4.10 3.4.9 y anteriores
Joomla 5 o 6 3.6.0 3.5.10 y anteriores

Si está ejecutando una versión afectada, actualice a la versión corregida de su línea de Joomla lo antes posible. Dado que esto se explotó como un día cero, también debería comprobar su sitio en busca de señales de compromiso (consulte Si estaba en una versión afectada más abajo).

Este es un fallo de una extensión, no un fallo del núcleo de Joomla. Un núcleo de Joomla totalmente actualizado no le protege si la propia extensión Page Builder CK está desactualizada.

Nota sobre los números de versión. Page Builder CK usa los mismos números de versión en distintas versiones de Joomla, así que el número por sí solo no le dice si está a salvo: depende de su versión de Joomla. Por ejemplo, 3.1.2 es una compilación corregida en Joomla 3, pero un sitio en Joomla 5 necesita 3.6.0 o posterior. La tabla anterior está asociada a su línea de Joomla precisamente por esta razón.

¿Es legítimo este mensaje?

Sí. Se trata de un aviso de buena fe, según el principio de la divulgación responsable, de un investigador de seguridad independiente. No le pido dinero, contraseñas ni acceso a su sitio, y no he intentado entrar en él, subir nada ni explotar nada.

Lo único que hice fue mirar archivos visibles públicamente que su sitio web ofrece a cada visitante (del mismo modo que su página de inicio es pública) y anotar el número de versión que la extensión Page Builder CK publica en esos archivos. En concreto, no toqué la función de subida vulnerable. Nada en esta comprobación toca sus datos, su área de administración ni ninguna parte privada de su sitio.

Si desea verificar quién soy, consulte los datos de contacto al final de esta página y la página Acerca de.

Por qué importa

Page Builder CK es un creador de páginas de arrastrar y soltar muy utilizado para Joomla. En las versiones afectadas, el explorador de medios de front-end de la extensión expone una acción de subida que puede alcanzarse sin iniciar sesión y sin una comprobación de seguridad válida: al gestor de subidas le faltaba la comprobación de autorización que debería restringirlo a los editores. Eso permite a un atacante subir un programa de su elección y ejecutarlo en su servidor: ejecución remota de código completa.

Esto no es un riesgo teórico. El fallo recibió una puntuación de 10,0 sobre 10, fue explotado en la práctica como un día cero (con atacantes dejando puertas traseras basadas en web para lograr acceso persistente) y se añadió al catálogo de vulnerabilidades explotadas conocidas de la Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. el 7 de julio de 2026.

Si mi correo citaba este problema, significa que la versión que informa su sitio cae dentro del rango afectado para su línea de Joomla. No he probado si su sitio concreto es explotable o ya está comprometido, solo que informa de una versión afectada.

La buena noticia: actualizar a una versión corregida cierra el agujero, y la actualización es sencilla.

Cómo comprobar su versión

No tiene que creer en mi palabra sobre qué versión está ejecutando.

Desde el manifiesto público (sin necesidad de iniciar sesión): abra yourdomain.com/administrator/components/com_pagebuilderck/pagebuilderck.xml en un navegador. La línea <version> es la versión que informa su instalación de Page Builder CK, y este es el mismo archivo público que leí.

Desde el área de administración (si tiene acceso):

  1. Inicie sesión en su administración de Joomla (normalmente en yourdomain.com/administrator).
  2. Vaya a Sistema luego Gestionar luego Extensiones (o Extensiones luego Gestionar, según su versión de Joomla).
  3. Busque Page Builder CK y anote la versión instalada.

Compare ese número con la tabla de la parte superior de esta página para su línea de Joomla. Si está en la versión corregida de su línea o por encima (3.1.1 en Joomla 3, 3.4.10 en Joomla 4, 3.6.0 en Joomla 5/6), está parcheado; si está por debajo, debería actualizar.

Cómo actualizar

La vía más segura es actualizar a través del propio Joomla, y hacer antes una copia de seguridad:

  1. Haga una copia de seguridad de su sitio (archivos y base de datos) antes de realizar cambios. La mayoría de los proveedores de alojamiento ofrecen copias de seguridad con un solo clic, o use una extensión de copia de seguridad de Joomla.
  2. En la administración de Joomla, abra Extensiones luego Gestionar luego Actualizar y haga clic en Buscar actualizaciones. Si aparece una actualización de Page Builder CK, instálela desde aquí: Joomla ofrecerá automáticamente la compilación correcta para su línea de Joomla.
  3. Si no aparece ninguna actualización allí, descargue la última versión directamente del proveedor, Joomlack, en https://www.joomlack.fr/en/joomla-extensions/page-builder-ck e instálela mediante Extensiones luego Instalar.
  4. Después de actualizar, confirme el nuevo número de versión (la versión corregida de su línea de Joomla) con los pasos anteriores y compruebe que su sitio carga y se edita con normalidad.

Ya que está en ello, conviene confirmar que el propio Joomla y sus demás extensiones están actualizados, ya que el mismo principio se aplica a todos ellos.

Si estaba en una versión afectada

Dado que este fallo se explotó antes de que hubiera una corrección disponible, un sitio que ejecutó una versión afectada no debería suponer que simplemente actualizar sea suficiente. La actualización cierra el agujero, pero no elimina nada que un atacante ya pudiera haber subido. Usted (o su webmaster) también debería comprobar si entraron en el sitio:

  • Archivos inesperados en el servidor. Un ataque de subida sin autenticación deja atrás archivos que el atacante colocó, con mayor frecuencia archivos .php (web shells) en directorios de subida y de medios con permisos de escritura, como bajo /images/, /media/ o el directorio de medios de Page Builder CK (/media/com_pagebuilderck/). Busque archivos de script con nombres de aspecto aleatorio, o archivos cuya fecha de modificación coincida con el momento en que el sitio pudo ser atacado, y elimine cualquiera del que no pueda dar cuenta.
  • Cuentas de administrador fraudulentas. Los ataques de subida de archivos se utilizan con frecuencia para crear cuentas de Súper Usuario ocultas para lograr acceso persistente. Revise su lista de usuarios en Usuarios luego Gestionar y elimine cualquiera que no reconozca.
  • Cambios inesperados. Archivos del núcleo modificados, nuevas tareas programadas o anulaciones de plantilla desconocidas pueden indicar una puerta trasera que sobrevive a la actualización de la extensión.

Si encuentra alguno de estos, trate el sitio como comprometido: elimine los archivos y cuentas fraudulentos, rote todas las credenciales (administración de Joomla, base de datos, FTP/SSH, panel de alojamiento), fuerce a todos los usuarios a volver a iniciar sesión y considere restaurar desde una copia de seguridad conocida como buena tomada antes de la intrusión. Si su organización tiene un equipo de seguridad informática o un CERT nacional, involúcrelos.

Quiero dejarlo claro: no he comprobado su sitio en busca de ninguno de estos indicadores, y no sé si su sitio se vio afectado. Esta lista está aquí para que pueda comprobarlo usted mismo.

No tengo webmaster / estoy atascado

Si usted no es la persona que mantiene el sitio, reenvíe esta página a quien lo haga (su desarrollador web, agencia o proveedor de alojamiento). Reconocerán los pasos anteriores con rapidez.

Si mantiene el sitio usted mismo y se atasca, con gusto le ayudo a orientarse en la dirección correcta sin coste alguno. Póngase en contacto usando los datos de abajo.

Contacto

Evan Harris, investigador de seguridad

Me pongo en contacto por problemas como este únicamente para ayudar a los operadores a asegurar sus sitios. Si prefiere que no se le vuelva a contactar, simplemente dígamelo y lo respetaré.

Referencias

Avisos oficiales y seguimiento

Proveedor (Joomlack)