Sigurnosna obavijest za SP Page Builder
Ako ste od mene primili e-poštu koja vas upućuje na ovu stranicu, to je zato što vaše
web-mjesto, čini se, koristi ranjivu verziju SP Page Buildera (JoomShaperov
com_sppagebuilder), proširenja za izradu stranica za sustav za upravljanje sadržajem
Joomla. Ova stranica objašnjava zašto je to važno i kako to popraviti.
Ova se obavijest odnosi na CVE-2026-48908, kritičnu (CVSS 10.0), aktivno iskorištavanu ranjivost koja omogućuje neautenticirano udaljeno izvršavanje koda kroz značajku proširenja za učitavanje prilagođenih ikona. Zahvaća verzije SP Page Buildera od 4.0.0 do 6.6.1, a ispravljena je u verziji 6.6.2. (Zahvaćena značajka učitavanja prilagođenih ikona uvedena je u SP Page Builderu 4.0, pa je linija 1.x, 2.x i 3.x (svako izdanje prije 4.0) ne sadrži i ovaj je problem ne zahvaća.) Ako koristite zahvaćenu verziju, nadogradite se na SP Page Builder 6.6.2 ili noviji što je prije moguće. Budući da se ovo iskorištavalo kao ranjivost nultog dana, trebali biste također provjeriti ima li na vašem web-mjestu znakova kompromitacije (vidi Ako ste koristili zahvaćenu verziju u nastavku).
Ovo je ranjivost proširenja, a ne jezgre Joomle. Zahvaća web-mjesta na Joomli 3, 4, 5 i 6 jednako: potpuno ažurna jezgra Joomle ne štiti vas ako je samo proširenje SP Page Builder zastarjelo.
Je li ova poruka vjerodostojna?
Da. Ovo je dobronamjerna obavijest po načelu odgovorne objave od neovisnog istraživača sigurnosti. Ne tražim od vas novac, lozinke ni pristup vašem web-mjestu i nisam pokušavao provaliti u njega, bilo što učitati niti bilo što iskoristiti.
Sve što sam učinio jest da sam pogledao javno vidljive datoteke koje vaše web-mjesto poslužuje svakom posjetitelju (na isti način na koji je vaša naslovnica javna) i zabilježio broj verzije koji proširenje SP Page Builder objavljuje u tim datotekama. Ranjive značajke učitavanja izričito se nisam dotaknuo. Ništa u ovoj provjeri ne dira vaše podatke, vašu administratorsku zonu ni bilo koji privatni dio vašeg web-mjesta.
Ako želite provjeriti tko sam, pogledajte kontaktne podatke na dnu ove stranice i stranicu O meni.
Zašto je ovo važno
SP Page Builder vrlo je raširen alat za izradu stranica povlačenjem i ispuštanjem za Joomlu. U zahvaćenim verzijama, značajka namijenjena tome da administratorima omogući učitavanje prilagođenog skupa ikona može se dosegnuti bez prijave i bez ikakvog sigurnosnog tokena, a ne provjerava ispravno kakva se vrsta datoteke učitava. Ta kombinacija omogućuje napadaču da učita program po svom izboru i pokrene ga na vašem poslužitelju: potpuno udaljeno izvršavanje koda.
Ovo nije teorijski rizik. Ranjivost je ocijenjena s 10,0 od 10, bila je iskorištavana u stvarnim uvjetima kao ranjivost nultog dana i dodana je u katalog Known Exploited Vulnerabilities američke Agencije za kibernetičku sigurnost i sigurnost infrastrukture (CISA) 7. srpnja 2026., uz savezni rok za zakrpu do 10. srpnja 2026. Stvarni napadi korištenjem ove ranjivosti instalirali su skrivene administratorske račune i web-bazirane stražnja vrata (backdoor) za trajni pristup.
Ako je moja e-pošta navela ovaj problem, to znači da verzija koju vaše web-mjesto prijavljuje spada u zahvaćeni raspon. Nisam testirao je li vaše konkretno web-mjesto iskoristivo ili već kompromitirano, samo da prijavljuje zahvaćenu verziju.
Dobra vijest: ažuriranje na ispravljenu verziju zatvara rupu, a ažuriranje je jednostavno.
Kako provjeriti svoju verziju
Ne morate mi vjerovati na riječ o tome koju verziju koristite.
Iz javnog manifesta (prijava nije potrebna): otvorite u pregledniku
yourdomain.com/administrator/components/com_sppagebuilder/sppagebuilder.xml. Redak
<version> sadrži verziju koju vaša instalacija SP Page Buildera prijavljuje, a to je ista
javna datoteka koju sam ja pročitao.
Iz administratorske zone (ako imate pristup):
- Prijavite se u svoju Joomla administraciju (obično na
yourdomain.com/administrator). - Idite na System pa Manage pa Extensions (ili Extensions pa Manage, ovisno o vašoj verziji Joomle).
- Potražite SP Page Builder i zabilježite instaliranu verziju.
Ako je verzija između 4.0.0 i 6.6.1, koristite zahvaćenu verziju i trebali biste se nadograditi. 6.6.2 i novije su ispravljene, a verzije prije 4.0.0 nemaju zahvaćenu značajku (premda im je istekao životni ciklus i vrijedi ih nadograditi iz drugih razloga).
Kako se nadograditi
Najsigurniji put jest ažuriranje kroz samu Joomlu, uz prethodno stvaranje sigurnosne kopije:
- Napravite sigurnosnu kopiju svog web-mjesta (datoteke i baza podataka) prije unošenja izmjena. Većina pružatelja usluga hostinga nudi sigurnosne kopije jednim klikom, ili upotrijebite proširenje za sigurnosno kopiranje Joomle.
- U Joomla administraciji otvorite Extensions pa Manage pa Update i kliknite Find Updates. Ako je ažuriranje SP Page Buildera navedeno, instalirajte ga odavde.
- Ako se tamo ne pojavi ažuriranje, preuzmite najnovije izdanje izravno od proizvođača JoomShaper na adresi https://www.joomshaper.com/page-builder i instalirajte ga putem Extensions pa Install.
- Nakon nadogradnje potvrdite novi broj verzije (6.6.2 ili noviji) prema gornjim koracima i provjerite da se vaše web-mjesto normalno učitava i uređuje.
Kad ste već tu, vrijedi potvrditi da su sama Joomla i vaša ostala proširenja ažurni, budući da isto načelo vrijedi za sve njih.
Ako ste koristili zahvaćenu verziju
Budući da se ova ranjivost iskorištavala prije nego što je ispravak postao dostupan, web-mjesto na kojem je radila zahvaćena verzija ne bi trebalo pretpostaviti da je puko ažuriranje dovoljno. Trebali biste također provjeriti je li već došlo do provale na web-mjesto. Javno dokumentirani napadi korištenjem ove ranjivosti ostavili su sljedeće tragove, koje vi (ili vaš webmaster) možete potražiti na vlastitom web-mjestu:
- Neovlašteni administratorski računi. Napadači su stvarali skrivene Super User
račune, često s adresama e-pošte koje završavaju na
@secure.locali korisničkim imenima poputwebeditor,contentmgr,sysadmin,webmaster,portaladmin,siteeditor,webmanagerilicmsadmin(često s dvije znamenke na kraju, npr.webeditor48). Pregledajte svoj popis korisnika u Users pa Manage i uklonite sve koje ne prepoznajete. - Datoteke stražnjih vrata (backdoor). Neočekivane PHP datoteke u
/media/com_sppagebuilder/assets/iconfont/ili zalutale datoteke poput/media/com_admin/users.phpili/media/regularlabs/users.php. Uobičajena stražnja vrata označavaju se tekstom “PHP File manager” unutar datoteke.
Ako pronađete bilo što od navedenog, tretirajte web-mjesto kao kompromitirano: uklonite neovlaštene račune i datoteke, promijenite sve vjerodajnice (Joomla administracija, baza podataka, FTP/SSH, hosting panel), prisilite sve korisnike da se ponovno prijave i razmotrite vraćanje iz poznato ispravne sigurnosne kopije napravljene prije upada. Ako vaša organizacija ima tim za IT sigurnost ili nacionalni CERT, uključite ih.
Želim biti jasan: nisam provjeravao vaše web-mjesto ni na jedan od ovih pokazatelja i ne znam je li vaše web-mjesto bilo zahvaćeno. Ovaj je popis ovdje kako biste mogli provjeriti sami.
Nemam webmastera / zapeo sam
Ako niste osoba koja održava web-mjesto, molim vas proslijedite ovu stranicu onome tko to radi (vašem web-programeru, agenciji ili pružatelju usluga hostinga). Oni će brzo prepoznati gornje korake.
Ako sami održavate web-mjesto i zapnete, rado ću vam besplatno pomoći usmjeriti vas u pravom smjeru. Javite se koristeći kontaktne podatke u nastavku.
Kontakt
Evan Harris, istraživač sigurnosti
- E-pošta: security@mail.mcpsec.dev
- X: @Evan__Harris
- GitHub: eharris128
- LinkedIn: Evan Harris
Obraćam se u vezi s ovakvim problemima isključivo kako bih pomogao operaterima osigurati njihova web-mjesta. Ako biste radije da vas se više ne kontaktira, samo mi javite i to ću poštovati.
Reference
Službene obavijesti i praćenje
- Unos u NVD-u (CVE-2026-48908)
- GitHub Advisory Database (GHSA-8fwr-8fxr-8v2p)
- CISA katalog poznatih iskorištavanih ranjivosti
- CISA upozorenje (7. srpnja 2026.)
Proizvođač (JoomShaper)
Izvještavanje i analiza