Avis de sécurité SP Page Builder
Si vous avez reçu un e-mail de ma part vous renvoyant à cette page, c’est parce que votre
site web semble utiliser une version vulnérable de SP Page Builder (le
com_sppagebuilder de JoomShaper), une extension de création de pages pour le système de
gestion de contenu Joomla. Cette page explique pourquoi cela compte et comment y remédier.
Cet avis concerne CVE-2026-48908, une faille critique (CVSS 10.0), activement exploitée, qui permet l’exécution de code à distance sans authentification via la fonctionnalité de téléversement d’icônes personnalisées de l’extension. Elle affecte les versions de SP Page Builder 4.0.0 à 6.6.1 et est corrigée dans 6.6.2. (La fonctionnalité de téléversement d’icônes personnalisées concernée a été introduite dans SP Page Builder 4.0, de sorte que les lignes 1.x, 2.x et 3.x (toute version antérieure à 4.0) ne la contiennent pas et ne sont pas affectées par ce problème.) Si vous utilisez une version concernée, mettez à jour vers SP Page Builder 6.6.2 ou une version ultérieure dès que possible. Comme cette faille a été exploitée en tant que zero-day, vous devriez également vérifier votre site à la recherche de signes de compromission (voir Si vous utilisiez une version concernée ci-dessous).
Il s’agit d’une faille d’une extension, et non du noyau de Joomla. Elle affecte indifféremment les sites sous Joomla 3, 4, 5 et 6 : un noyau Joomla parfaitement à jour ne vous protège pas si l’extension SP Page Builder elle-même est obsolète.
Ce message est-il légitime ?
Oui. Il s’agit d’un avis de bonne foi, selon le principe de la divulgation responsable, émanant d’un chercheur en sécurité indépendant. Je ne vous demande pas d’argent, de mots de passe ni d’accès à votre site, et je n’ai pas tenté de m’y introduire, de téléverser quoi que ce soit ni d’exploiter quoi que ce soit.
Je n’ai fait que consulter des fichiers publiquement visibles que votre site web fournit à chaque visiteur (de la même manière que votre page d’accueil est publique) et noter le numéro de version que l’extension SP Page Builder publie dans ces fichiers. Je n’ai spécifiquement pas touché à la fonctionnalité de téléversement vulnérable. Rien dans cette vérification ne touche à vos données, à votre zone d’administration ni à aucune partie privée de votre site.
Si vous souhaitez vérifier qui je suis, consultez les coordonnées au bas de cette page et la page À propos.
Pourquoi cela compte
SP Page Builder est un constructeur de pages par glisser-déposer très largement utilisé pour Joomla. Dans les versions concernées, une fonctionnalité censée permettre aux administrateurs de téléverser un jeu d’icônes personnalisé peut être atteinte sans connexion et sans aucun jeton de sécurité, et elle ne vérifie pas correctement le type de fichier téléversé. Cette combinaison permet à un attaquant de téléverser un programme de son choix et de l’exécuter sur votre serveur : l’exécution de code à distance complète.
Ce risque n’est pas théorique. La faille a reçu un score de 10,0 sur 10, a été exploitée dans la nature en tant que zero-day, et a été ajoutée le 7 juillet 2026 au catalogue des Known Exploited Vulnerabilities (vulnérabilités connues et exploitées) de la Cybersecurity and Infrastructure Security Agency des États-Unis, avec une échéance de correction pour les agences fédérales fixée au 10 juillet 2026. Des attaques réelles exploitant cette faille ont installé des comptes administrateur cachés et des portes dérobées web pour un accès persistant.
Si mon e-mail a cité ce problème, cela signifie que la version signalée par votre site entre dans la plage concernée. Je n’ai pas testé si votre site en particulier est exploitable ou déjà compromis, seulement qu’il signale une version concernée.
La bonne nouvelle : la mise à jour vers une version corrigée comble la faille, et la mise à jour est simple.
Comment vérifier votre version
Vous n’êtes pas obligé de me croire sur parole quant à la version que vous utilisez.
Depuis le manifeste public (aucune connexion nécessaire) : ouvrez
votredomaine.com/administrator/components/com_sppagebuilder/sppagebuilder.xml dans un
navigateur. La ligne <version> est la version signalée par votre installation de SP Page
Builder, et il s’agit du même fichier public que celui que j’ai lu.
Depuis la zone d’administration (si vous y avez accès) :
- Connectez-vous à votre administration Joomla (généralement à l’adresse
votredomaine.com/administrator). - Allez dans Système puis Gérer puis Extensions (ou Extensions puis Gérer, selon votre version de Joomla).
- Recherchez SP Page Builder et notez la version installée.
Si la version est comprise entre 4.0.0 et 6.6.1, vous utilisez une version concernée et vous devriez mettre à jour. Les versions 6.6.2 et ultérieures sont corrigées, et les versions antérieures à 4.0.0 n’ont pas la fonctionnalité concernée (elles sont toutefois en fin de vie et méritent une mise à jour pour d’autres raisons).
Comment mettre à jour
La voie la plus sûre consiste à effectuer la mise à jour via Joomla lui-même, et à réaliser une sauvegarde au préalable :
- Sauvegardez votre site (fichiers et base de données) avant d’apporter des modifications. La plupart des hébergeurs proposent des sauvegardes en un clic, ou utilisez une extension de sauvegarde Joomla.
- Dans l’administration Joomla, ouvrez Extensions puis Gérer puis Mettre à jour, et cliquez sur Rechercher les mises à jour. Si une mise à jour de SP Page Builder est répertoriée, installez-la à partir d’ici.
- Si aucune mise à jour n’y apparaît, téléchargez la dernière version directement auprès de l’éditeur, JoomShaper, à l’adresse https://www.joomshaper.com/page-builder et installez-la via Extensions puis Installer.
- Après la mise à jour, confirmez le nouveau numéro de version (6.6.2 ou ultérieure) en suivant les étapes ci-dessus, et vérifiez que votre site se charge et s’édite normalement.
Tant que vous y êtes, il vaut la peine de confirmer que Joomla lui-même et vos autres extensions sont à jour, car le même principe s’applique à tous.
Si vous utilisiez une version concernée
Comme cette faille a été exploitée avant qu’un correctif ne soit disponible, un site qui a utilisé une version concernée ne devrait pas présumer qu’une simple mise à jour suffit. Vous devriez également vérifier si le site a déjà fait l’objet d’une intrusion. Des attaques publiquement documentées exploitant cette vulnérabilité ont laissé les traces suivantes, que vous (ou votre webmaster) pouvez rechercher sur votre propre site :
- Comptes administrateur illégitimes. Les attaquants ont créé des comptes Super
utilisateur cachés, souvent avec des adresses e-mail se terminant par
@secure.localet des noms d’utilisateur tels quewebeditor,contentmgr,sysadmin,webmaster,portaladmin,siteeditor,webmanageroucmsadmin(fréquemment avec deux chiffres à la fin, par exemplewebeditor48). Examinez votre liste d’utilisateurs dans Utilisateurs puis Gérer et supprimez tous ceux que vous ne reconnaissez pas. - Fichiers de porte dérobée. Des fichiers PHP inattendus sous
/media/com_sppagebuilder/assets/iconfont/, ou des fichiers isolés tels que/media/com_admin/users.phpou/media/regularlabs/users.php. Une porte dérobée répandue s’identifie par le texte « PHP File manager » à l’intérieur du fichier.
Si vous trouvez l’un de ces éléments, considérez le site comme compromis : supprimez les comptes et fichiers illégitimes, changez tous les identifiants (administration Joomla, base de données, FTP/SSH, panneau d’hébergement), forcez tous les utilisateurs à se reconnecter, et envisagez une restauration à partir d’une sauvegarde connue comme saine, effectuée avant l’intrusion. Si votre organisation dispose d’une équipe de sécurité informatique ou d’un CERT national, associez-les à la démarche.
Je tiens à être clair : je n’ai pas vérifié la présence de l’un de ces indicateurs sur votre site, et je ne sais pas si votre site a été affecté. Cette liste est fournie ici pour que vous puissiez vérifier par vous-même.
Je n’ai pas de webmaster / je suis bloqué
Si vous n’êtes pas la personne qui gère le site, veuillez transférer cette page à celle qui s’en charge (votre développeur web, votre agence ou votre hébergeur). Elle reconnaîtra rapidement les étapes ci-dessus.
Si vous gérez le site vous-même et que vous êtes bloqué, je me ferai un plaisir de vous aiguiller dans la bonne direction, sans frais. Contactez-moi à l’aide des coordonnées ci-dessous.
Contact
Evan Harris, chercheur en sécurité
- E-mail : security@mail.mcpsec.dev
- X : @Evan__Harris
- GitHub : eharris128
- LinkedIn : Evan Harris
Je contacte les exploitants au sujet de problèmes comme celui-ci uniquement pour les aider à sécuriser leurs sites. Si vous préférez ne plus être contacté, faites-le-moi simplement savoir et je le respecterai.
Références
Avis officiels et suivi
- Fiche NVD (CVE-2026-48908)
- GitHub Advisory Database (GHSA-8fwr-8fxr-8v2p)
- Catalogue CISA des vulnérabilités connues et exploitées
- Alerte CISA (7 juillet 2026)
Éditeur (JoomShaper)
Presse et analyse