Ako ste od mene primili e-poštu koja vas upućuje na ovu stranicu, to je zato što vaše web-mjesto, čini se, koristi ranjivu verziju Page Buildera CK (Joomlackov com_pagebuilderck), proširenja za izradu stranica za sustav za upravljanje sadržajem Joomla. Ova stranica objašnjava zašto je to važno i kako to popraviti.

Ova se obavijest odnosi na CVE-2026-56290, kritičnu (CVSS 10.0), aktivno iskorištavanu ranjivost koja omogućuje neautenticirano udaljeno izvršavanje koda kroz značajku učitavanja putem preglednika medija na prednjem dijelu proširenja. Ispravak je objavljen 27. lipnja 2026., a koja se verzija smatra “ispravljenom” ovisi o vašoj liniji Joomle:

Ako vaše web-mjesto koristi… Page Builder CK ispravljen je u… Zahvaćeno (potrebna nadogradnja)
Joomla 3 3.1.1 3.1.0 i starije
Joomla 4 3.4.10 3.4.9 i starije
Joomla 5 ili 6 3.6.0 3.5.10 i starije

Ako koristite zahvaćenu verziju, nadogradite se na ispravljeno izdanje za svoju liniju Joomle što je prije moguće. Budući da se ovo iskorištavalo kao ranjivost nultog dana, trebali biste također provjeriti ima li na vašem web-mjestu znakova kompromitacije (vidi Ako ste koristili zahvaćenu verziju u nastavku).

Ovo je ranjivost proširenja, a ne jezgre Joomle. Potpuno ažurna jezgra Joomle vas ne štiti ako je samo proširenje Page Builder CK zastarjelo.

Napomena o brojevima verzija. Page Builder CK koristi iste brojeve verzija za različita izdanja Joomle, pa vam broj sam po sebi ne govori jeste li sigurni: to ovisi o vašoj verziji Joomle. Na primjer, 3.1.2 je ispravljena verzija na Joomli 3, ali web-mjestu na Joomli 5 potrebna je 3.6.0 ili novija. Gornja je tablica upravo zbog toga vezana uz vašu liniju Joomle.

Je li ova poruka vjerodostojna?

Da. Ovo je dobronamjerna obavijest po načelu odgovorne objave od neovisnog istraživača sigurnosti. Ne tražim od vas novac, lozinke ni pristup vašem web-mjestu i nisam pokušavao provaliti u njega, bilo što učitati niti bilo što iskoristiti.

Sve što sam učinio jest da sam pogledao javno vidljive datoteke koje vaše web-mjesto poslužuje svakom posjetitelju (na isti način na koji je vaša naslovnica javna) i zabilježio broj verzije koji proširenje Page Builder CK objavljuje u tim datotekama. Ranjivu značajku učitavanja izričito se nisam dotaknuo. Ništa u ovoj provjeri ne dira vaše podatke, vašu administratorsku zonu ni bilo koji privatni dio vašeg web-mjesta.

Ako želite provjeriti tko sam, pogledajte kontaktne podatke na dnu ove stranice i stranicu O meni.

Zašto je ovo važno

Page Builder CK vrlo je raširen alat za izradu stranica povlačenjem i ispuštanjem za Joomlu. U zahvaćenim verzijama, preglednik medija na prednjem dijelu proširenja izlaže radnju učitavanja kojoj se može pristupiti bez prijave i bez valjane sigurnosne provjere: rukovatelj učitavanja nije imao provjeru ovlaštenja koja bi ga trebala ograničiti na urednike. To napadaču omogućuje da učita program po svom izboru i pokrene ga na vašem poslužitelju: potpuno udaljeno izvršavanje koda.

Ovo nije teorijski rizik. Ranjivost je ocijenjena s 10,0 od 10, bila je iskorištavana u stvarnim uvjetima kao ranjivost nultog dana (pri čemu su napadači ostavljali web-bazirana stražnja vrata (backdoor) za trajni pristup) i dodana je u katalog Known Exploited Vulnerabilities američke Agencije za kibernetičku sigurnost i sigurnost infrastrukture (CISA) 7. srpnja 2026.

Ako je moja e-pošta navela ovaj problem, to znači da verzija koju vaše web-mjesto prijavljuje spada u zahvaćeni raspon za vašu liniju Joomle. Nisam testirao je li vaše konkretno web-mjesto iskoristivo ili već kompromitirano, samo da prijavljuje zahvaćenu verziju.

Dobra vijest: ažuriranje na ispravljenu verziju zatvara rupu, a ažuriranje je jednostavno.

Kako provjeriti svoju verziju

Ne morate mi vjerovati na riječ o tome koju verziju koristite.

Iz javnog manifesta (prijava nije potrebna): otvorite u pregledniku yourdomain.com/administrator/components/com_pagebuilderck/pagebuilderck.xml. Redak <version> sadrži verziju koju vaša instalacija Page Buildera CK prijavljuje, a to je ista javna datoteka koju sam ja pročitao.

Iz administratorske zone (ako imate pristup):

  1. Prijavite se u svoju Joomla administraciju (obično na yourdomain.com/administrator).
  2. Idite na System pa Manage pa Extensions (ili Extensions pa Manage, ovisno o vašoj verziji Joomle).
  3. Potražite Page Builder CK i zabilježite instaliranu verziju.

Usporedite taj broj s tablicom na vrhu ove stranice za svoju liniju Joomle. Ako ste na ispravljenoj verziji za svoju liniju ili iznad nje (3.1.1 na Joomli 3, 3.4.10 na Joomli 4, 3.6.0 na Joomli 5/6), zakrpani ste; ako ste ispod nje, trebali biste se nadograditi.

Kako se nadograditi

Najsigurniji put jest ažuriranje kroz samu Joomlu, uz prethodno stvaranje sigurnosne kopije:

  1. Napravite sigurnosnu kopiju svog web-mjesta (datoteke i baza podataka) prije unošenja izmjena. Većina pružatelja usluga hostinga nudi sigurnosne kopije jednim klikom, ili upotrijebite proširenje za sigurnosno kopiranje Joomle.
  2. U Joomla administraciji otvorite Extensions pa Manage pa Update i kliknite Find Updates. Ako je ažuriranje Page Buildera CK navedeno, instalirajte ga odavde: Joomla će automatski ponuditi ispravnu verziju za vašu liniju Joomle.
  3. Ako se tamo ne pojavi ažuriranje, preuzmite najnovije izdanje izravno od proizvođača Joomlack na adresi https://www.joomlack.fr/en/joomla-extensions/page-builder-ck i instalirajte ga putem Extensions pa Install.
  4. Nakon nadogradnje potvrdite novi broj verzije (ispravljeno izdanje za vašu liniju Joomle) prema gornjim koracima i provjerite da se vaše web-mjesto normalno učitava i uređuje.

Kad ste već tu, vrijedi potvrditi da su sama Joomla i vaša ostala proširenja ažurni, budući da isto načelo vrijedi za sve njih.

Ako ste koristili zahvaćenu verziju

Budući da se ova ranjivost iskorištavala prije nego što je ispravak postao dostupan, web-mjesto na kojem je radila zahvaćena verzija ne bi trebalo pretpostaviti da je puko ažuriranje dovoljno. Ažuriranje zatvara rupu, ali ne uklanja ono što je napadač možda već učitao. Vi (ili vaš webmaster) trebali biste također provjeriti je li došlo do provale na web-mjesto:

  • Neočekivane datoteke na poslužitelju. Napad neautenticiranim učitavanjem ostavlja za sobom datoteke koje je napadač postavio, najčešće .php datoteke (web-ljuske) u zapisive direktorije za učitavanje i medije, kao što su oni pod /images/, /media/ ili direktorij medija Page Buildera CK (/media/com_pagebuilderck/). Potražite skriptne datoteke naizgled nasumičnih naziva, ili datoteke čiji se datum izmjene poklapa s vremenom kada je web-mjesto moglo biti na meti, i uklonite sve za koje ne možete odgovarati.
  • Neovlašteni administratorski računi. Napadi učitavanjem datoteka često se koriste za stvaranje skrivenih Super User računa za trajni pristup. Pregledajte svoj popis korisnika u Users pa Manage i uklonite sve koje ne prepoznajete.
  • Neočekivane izmjene. Izmijenjene datoteke jezgre, novi zakazani zadaci ili nepoznata nadjačavanja predložaka mogu upućivati na stražnja vrata koja preživljavaju ažuriranje proširenja.

Ako pronađete bilo što od navedenog, tretirajte web-mjesto kao kompromitirano: uklonite zlonamjerne datoteke i račune, promijenite sve vjerodajnice (Joomla administracija, baza podataka, FTP/SSH, hosting panel), prisilite sve korisnike da se ponovno prijave i razmotrite vraćanje iz poznato ispravne sigurnosne kopije napravljene prije upada. Ako vaša organizacija ima tim za IT sigurnost ili nacionalni CERT, uključite ih.

Želim biti jasan: nisam provjeravao vaše web-mjesto ni na jedan od ovih pokazatelja i ne znam je li vaše web-mjesto bilo zahvaćeno. Ovaj je popis ovdje kako biste mogli provjeriti sami.

Nemam webmastera / zapeo sam

Ako niste osoba koja održava web-mjesto, molim vas proslijedite ovu stranicu onome tko to radi (vašem web-programeru, agenciji ili pružatelju usluga hostinga). Oni će brzo prepoznati gornje korake.

Ako sami održavate web-mjesto i zapnete, rado ću vam besplatno pomoći usmjeriti vas u pravom smjeru. Javite se koristeći kontaktne podatke u nastavku.

Kontakt

Evan Harris, istraživač sigurnosti

Obraćam se u vezi s ovakvim problemima isključivo kako bih pomogao operaterima osigurati njihova web-mjesta. Ako biste radije da vas se više ne kontaktira, samo mi javite i to ću poštovati.

Reference

Službene obavijesti i praćenje

Proizvođač (Joomlack)