Si vous avez reçu un e-mail de ma part vous renvoyant à cette page, c’est parce que votre site web semble utiliser une version vulnérable de Page Builder CK (le com_pagebuilderck de Joomlack), une extension de création de pages pour le système de gestion de contenu Joomla. Cette page explique pourquoi cela compte et comment y remédier.

Cet avis concerne CVE-2026-56290, une faille critique (CVSS 10.0), activement exploitée, qui permet l’exécution de code à distance sans authentification via la fonctionnalité de téléversement du navigateur de médias front-end de l’extension. Le correctif a été publié le 27 juin 2026, et la version considérée comme « corrigée » dépend de votre ligne Joomla :

Si votre site utilise… Page Builder CK est corrigé dans… Concernée (mise à jour nécessaire)
Joomla 3 3.1.1 3.1.0 et antérieures
Joomla 4 3.4.10 3.4.9 et antérieures
Joomla 5 ou 6 3.6.0 3.5.10 et antérieures

Si vous utilisez une version concernée, mettez à jour vers la version corrigée correspondant à votre ligne Joomla dès que possible. Comme cette faille a été exploitée en tant que zero-day, vous devriez également vérifier votre site à la recherche de signes de compromission (voir Si vous utilisiez une version concernée ci-dessous).

Il s’agit d’une faille d’une extension, et non du noyau de Joomla. Un noyau Joomla parfaitement à jour ne vous protège pas si l’extension Page Builder CK elle-même est obsolète.

Remarque sur les numéros de version. Page Builder CK utilise les mêmes numéros de version pour différentes versions de Joomla, de sorte que le numéro seul ne vous indique pas si vous êtes en sécurité : cela dépend de votre version de Joomla. Par exemple, 3.1.2 est une version corrigée sur Joomla 3, mais un site sous Joomla 5 a besoin de la version 3.6.0 ou d’une version ultérieure. Le tableau ci-dessus est indexé sur votre ligne Joomla précisément pour cette raison.

Ce message est-il légitime ?

Oui. Il s’agit d’un avis de bonne foi, selon le principe de la divulgation responsable, émanant d’un chercheur en sécurité indépendant. Je ne vous demande pas d’argent, de mots de passe ni d’accès à votre site, et je n’ai pas tenté de m’y introduire, de téléverser quoi que ce soit ni d’exploiter quoi que ce soit.

Je n’ai fait que consulter des fichiers publiquement visibles que votre site web fournit à chaque visiteur (de la même manière que votre page d’accueil est publique) et noter le numéro de version que l’extension Page Builder CK publie dans ces fichiers. Je n’ai spécifiquement pas touché à la fonctionnalité de téléversement vulnérable. Rien dans cette vérification ne touche à vos données, à votre zone d’administration ni à aucune partie privée de votre site.

Si vous souhaitez vérifier qui je suis, consultez les coordonnées au bas de cette page et la page À propos.

Pourquoi cela compte

Page Builder CK est un constructeur de pages par glisser-déposer très largement utilisé pour Joomla. Dans les versions concernées, le navigateur de médias front-end de l’extension expose une action de téléversement qui peut être atteinte sans connexion et sans contrôle de sécurité valide : le gestionnaire de téléversement ne comportait pas la vérification d’autorisation censée le restreindre aux éditeurs. Cela permet à un attaquant de téléverser un programme de son choix et de l’exécuter sur votre serveur : l’exécution de code à distance complète.

Ce risque n’est pas théorique. La faille a reçu un score de 10,0 sur 10, a été exploitée dans la nature en tant que zero-day (les attaquants déposant des portes dérobées web pour un accès persistant), et a été ajoutée le 7 juillet 2026 au catalogue des Known Exploited Vulnerabilities (vulnérabilités connues et exploitées) de la Cybersecurity and Infrastructure Security Agency des États-Unis.

Si mon e-mail a cité ce problème, cela signifie que la version signalée par votre site entre dans la plage concernée pour votre ligne Joomla. Je n’ai pas testé si votre site en particulier est exploitable ou déjà compromis, seulement qu’il signale une version concernée.

La bonne nouvelle : la mise à jour vers une version corrigée comble la faille, et la mise à jour est simple.

Comment vérifier votre version

Vous n’êtes pas obligé de me croire sur parole quant à la version que vous utilisez.

Depuis le manifeste public (aucune connexion nécessaire) : ouvrez votredomaine.com/administrator/components/com_pagebuilderck/pagebuilderck.xml dans un navigateur. La ligne <version> est la version signalée par votre installation de Page Builder CK, et il s’agit du même fichier public que celui que j’ai lu.

Depuis la zone d’administration (si vous y avez accès) :

  1. Connectez-vous à votre administration Joomla (généralement à l’adresse votredomaine.com/administrator).
  2. Allez dans Système puis Gérer puis Extensions (ou Extensions puis Gérer, selon votre version de Joomla).
  3. Recherchez Page Builder CK et notez la version installée.

Comparez ce numéro au tableau situé en haut de cette page pour votre ligne Joomla. Si vous êtes à la version corrigée de votre ligne ou au-delà (3.1.1 sur Joomla 3, 3.4.10 sur Joomla 4, 3.6.0 sur Joomla 5/6), vous êtes protégé ; si vous êtes en dessous, vous devriez mettre à jour.

Comment mettre à jour

La voie la plus sûre consiste à effectuer la mise à jour via Joomla lui-même, et à réaliser une sauvegarde au préalable :

  1. Sauvegardez votre site (fichiers et base de données) avant d’apporter des modifications. La plupart des hébergeurs proposent des sauvegardes en un clic, ou utilisez une extension de sauvegarde Joomla.
  2. Dans l’administration Joomla, ouvrez Extensions puis Gérer puis Mettre à jour, et cliquez sur Rechercher les mises à jour. Si une mise à jour de Page Builder CK est répertoriée, installez-la à partir d’ici : Joomla proposera automatiquement la version correcte pour votre ligne Joomla.
  3. Si aucune mise à jour n’y apparaît, téléchargez la dernière version directement auprès de l’éditeur, Joomlack, à l’adresse https://www.joomlack.fr/en/joomla-extensions/page-builder-ck et installez-la via Extensions puis Installer.
  4. Après la mise à jour, confirmez le nouveau numéro de version (la version corrigée correspondant à votre ligne Joomla) en suivant les étapes ci-dessus, et vérifiez que votre site se charge et s’édite normalement.

Tant que vous y êtes, il vaut la peine de confirmer que Joomla lui-même et vos autres extensions sont à jour, car le même principe s’applique à tous.

Si vous utilisiez une version concernée

Comme cette faille a été exploitée avant qu’un correctif ne soit disponible, un site qui a utilisé une version concernée ne devrait pas présumer qu’une simple mise à jour suffit. La mise à jour comble la faille, mais elle ne supprime pas ce qu’un attaquant aurait déjà pu téléverser. Vous (ou votre webmaster) devriez également vérifier si le site a fait l’objet d’une intrusion :

  • Fichiers inattendus sur le serveur. Une attaque par téléversement non authentifié laisse derrière elle des fichiers déposés par l’attaquant : le plus souvent des fichiers .php (web shells) dans les répertoires de téléversement et de médias accessibles en écriture, par exemple sous /images/, /media/, ou le répertoire de médias de Page Builder CK (/media/com_pagebuilderck/). Recherchez des fichiers de script aux noms d’apparence aléatoire, ou des fichiers dont la date de modification coïncide avec le moment où le site a pu être ciblé, et supprimez tous ceux que vous ne pouvez pas expliquer.
  • Comptes administrateur illégitimes. Les attaques par téléversement de fichiers sont fréquemment utilisées pour créer des comptes Super utilisateur cachés en vue d’un accès persistant. Examinez votre liste d’utilisateurs dans Utilisateurs puis Gérer et supprimez tous ceux que vous ne reconnaissez pas.
  • Modifications inattendues. Des fichiers du noyau modifiés, de nouvelles tâches planifiées ou des surcharges de gabarits inconnues peuvent indiquer une porte dérobée qui survit à la mise à jour de l’extension.

Si vous trouvez l’un de ces éléments, considérez le site comme compromis : supprimez les fichiers et comptes illégitimes, changez tous les identifiants (administration Joomla, base de données, FTP/SSH, panneau d’hébergement), forcez tous les utilisateurs à se reconnecter, et envisagez une restauration à partir d’une sauvegarde connue comme saine, effectuée avant l’intrusion. Si votre organisation dispose d’une équipe de sécurité informatique ou d’un CERT national, associez-les à la démarche.

Je tiens à être clair : je n’ai pas vérifié la présence de l’un de ces indicateurs sur votre site, et je ne sais pas si votre site a été affecté. Cette liste est fournie ici pour que vous puissiez vérifier par vous-même.

Je n’ai pas de webmaster / je suis bloqué

Si vous n’êtes pas la personne qui gère le site, veuillez transférer cette page à celle qui s’en charge (votre développeur web, votre agence ou votre hébergeur). Elle reconnaîtra rapidement les étapes ci-dessus.

Si vous gérez le site vous-même et que vous êtes bloqué, je me ferai un plaisir de vous aiguiller dans la bonne direction, sans frais. Contactez-moi à l’aide des coordonnées ci-dessous.

Contact

Evan Harris, chercheur en sécurité

Je contacte les exploitants au sujet de problèmes comme celui-ci uniquement pour les aider à sécuriser leurs sites. Si vous préférez ne plus être contacté, faites-le-moi simplement savoir et je le respecterai.

Références

Avis officiels et suivi

Éditeur (Joomlack)