Aviso de seguridad de SP Page Builder
Si recibió un correo electrónico mío que le remite a esta página, es porque su sitio web
parece estar ejecutando una versión vulnerable de SP Page Builder (el
com_sppagebuilder de JoomShaper), una extensión de creación de páginas para el sistema de
gestión de contenidos Joomla. Esta página explica por qué importa y cómo corregirlo.
Este aviso se refiere a CVE-2026-48908, una vulnerabilidad crítica (CVSS 10.0), explotada activamente, que permite la ejecución remota de código sin autenticación a través de la función de subida de iconos personalizados de la extensión. Afecta a las versiones de SP Page Builder 4.0.0 hasta 6.6.1 y está corregida en 6.6.2. (La función afectada de subida de iconos personalizados se introdujo en SP Page Builder 4.0, por lo que la línea 1.x, 2.x y 3.x (cualquier versión anterior a 4.0) no la contiene y no está afectada por este problema.) Si está ejecutando una versión afectada, actualice a SP Page Builder 6.6.2 o posterior lo antes posible. Dado que esto se explotó como un día cero, también debería comprobar su sitio en busca de señales de compromiso (consulte Si estaba en una versión afectada más abajo).
Este es un fallo de una extensión, no un fallo del núcleo de Joomla. Afecta por igual a los sitios en Joomla 3, 4, 5 y 6: un núcleo de Joomla totalmente actualizado no le protege si la propia extensión SP Page Builder está desactualizada.
¿Es legítimo este mensaje?
Sí. Se trata de un aviso de buena fe, según el principio de la divulgación responsable, de un investigador de seguridad independiente. No le pido dinero, contraseñas ni acceso a su sitio, y no he intentado entrar en él, subir nada ni explotar nada.
Lo único que hice fue mirar archivos visibles públicamente que su sitio web ofrece a cada visitante (del mismo modo que su página de inicio es pública) y anotar el número de versión que la extensión SP Page Builder publica en esos archivos. En concreto, no toqué la función de subida vulnerable. Nada en esta comprobación toca sus datos, su área de administración ni ninguna parte privada de su sitio.
Si desea verificar quién soy, consulte los datos de contacto al final de esta página y la página Acerca de.
Por qué importa
SP Page Builder es un creador de páginas de arrastrar y soltar muy utilizado para Joomla. En las versiones afectadas, una función pensada para que los administradores suban un conjunto de iconos personalizado puede alcanzarse sin iniciar sesión y sin ningún token de seguridad, y no comprueba adecuadamente qué tipo de archivo se está subiendo. Esa combinación permite a un atacante subir un programa de su elección y ejecutarlo en su servidor: ejecución remota de código completa.
Esto no es un riesgo teórico. El fallo recibió una puntuación de 10,0 sobre 10, fue explotado en la práctica como un día cero y se añadió al catálogo de vulnerabilidades explotadas conocidas de la Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. el 7 de julio de 2026, con un plazo federal de aplicación de parches del 10 de julio de 2026. Los ataques reales que utilizan este fallo han instalado cuentas de administrador ocultas y puertas traseras basadas en web para lograr acceso persistente.
Si mi correo citaba este problema, significa que la versión que informa su sitio cae dentro del rango afectado. No he probado si su sitio concreto es explotable o ya está comprometido, solo que informa de una versión afectada.
La buena noticia: actualizar a una versión corregida cierra el agujero, y la actualización es sencilla.
Cómo comprobar su versión
No tiene que creer en mi palabra sobre qué versión está ejecutando.
Desde el manifiesto público (sin necesidad de iniciar sesión): abra
sudominio.com/administrator/components/com_sppagebuilder/sppagebuilder.xml en un navegador.
La línea <version> es la versión que informa su instalación de SP Page Builder, y este es
el mismo archivo público que leí.
Desde el área de administración (si tiene acceso):
- Inicie sesión en su administración de Joomla (normalmente en
sudominio.com/administrator). - Vaya a Sistema luego Gestionar luego Extensiones (o Extensiones luego Gestionar, según su versión de Joomla).
- Busque SP Page Builder y anote la versión instalada.
Si la versión está entre 4.0.0 y 6.6.1, está en una versión afectada y debería actualizar. 6.6.2 y posteriores están corregidas, y las versiones anteriores a 4.0.0 no tienen la función afectada (aunque están en fin de vida y merece la pena actualizarlas por otras razones).
Cómo actualizar
La vía más segura es actualizar a través del propio Joomla, y hacer antes una copia de seguridad:
- Haga una copia de seguridad de su sitio (archivos y base de datos) antes de realizar cambios. La mayoría de los proveedores de alojamiento ofrecen copias de seguridad con un solo clic, o use una extensión de copia de seguridad de Joomla.
- En la administración de Joomla, abra Extensiones luego Gestionar luego Actualizar y haga clic en Buscar actualizaciones. Si aparece una actualización de SP Page Builder, instálela desde aquí.
- Si no aparece ninguna actualización allí, descargue la última versión directamente del proveedor, JoomShaper, en https://www.joomshaper.com/page-builder e instálela mediante Extensiones luego Instalar.
- Después de actualizar, confirme el nuevo número de versión (6.6.2 o posterior) con los pasos anteriores y compruebe que su sitio carga y se edita con normalidad.
Ya que está en ello, conviene confirmar que el propio Joomla y sus demás extensiones están actualizados, ya que el mismo principio se aplica a todos ellos.
Si estaba en una versión afectada
Dado que este fallo se explotó antes de que hubiera una corrección disponible, un sitio que ejecutó una versión afectada no debería suponer que simplemente actualizar sea suficiente. También debería comprobar si ya entraron en el sitio. Los ataques públicamente documentados que utilizan esta vulnerabilidad han dejado estos rastros, que usted (o su webmaster) puede buscar en su propio sitio:
- Cuentas de administrador fraudulentas. Los atacantes crearon cuentas de Súper
Usuario ocultas, a menudo con direcciones de correo electrónico que terminan en
@secure.localy nombres de usuario comowebeditor,contentmgr,sysadmin,webmaster,portaladmin,siteeditor,webmanagerocmsadmin(con frecuencia con dos dígitos al final, p. ej.webeditor48). Revise su lista de usuarios en Usuarios luego Gestionar y elimine cualquiera que no reconozca. - Archivos de puerta trasera. Archivos PHP inesperados en
/media/com_sppagebuilder/assets/iconfont/, o archivos extraños como/media/com_admin/users.phpo/media/regularlabs/users.php. Una puerta trasera común se identifica con el texto “PHP File manager” dentro del archivo.
Si encuentra alguno de estos, trate el sitio como comprometido: elimine las cuentas y archivos fraudulentos, rote todas las credenciales (administración de Joomla, base de datos, FTP/SSH, panel de alojamiento), fuerce a todos los usuarios a volver a iniciar sesión y considere restaurar desde una copia de seguridad conocida como buena tomada antes de la intrusión. Si su organización tiene un equipo de seguridad informática o un CERT nacional, involúcrelos.
Quiero dejarlo claro: no he comprobado su sitio en busca de ninguno de estos indicadores, y no sé si su sitio se vio afectado. Esta lista está aquí para que pueda comprobarlo usted mismo.
No tengo webmaster / estoy atascado
Si usted no es la persona que mantiene el sitio, reenvíe esta página a quien lo haga (su desarrollador web, agencia o proveedor de alojamiento). Reconocerán los pasos anteriores con rapidez.
Si mantiene el sitio usted mismo y se atasca, con gusto le ayudo a orientarse en la dirección correcta sin coste alguno. Póngase en contacto usando los datos de abajo.
Contacto
Evan Harris, investigador de seguridad
- Correo electrónico: security@mail.mcpsec.dev
- X: @Evan__Harris
- GitHub: eharris128
- LinkedIn: Evan Harris
Me pongo en contacto por problemas como este únicamente para ayudar a los operadores a asegurar sus sitios. Si prefiere que no se le vuelva a contactar, simplemente dígamelo y lo respetaré.
Referencias
Avisos oficiales y seguimiento
- Entrada de NVD (CVE-2026-48908)
- GitHub Advisory Database (GHSA-8fwr-8fxr-8v2p)
- Catálogo de vulnerabilidades explotadas conocidas de CISA
- Alerta de CISA (7 de julio de 2026)
Proveedor (JoomShaper)
Informes y análisis