Se avete ricevuto un’email da parte mia che vi indirizza a questa pagina, è perché il vostro sito sembra utilizzare una versione vulnerabile di Page Builder CK (il com_pagebuilderck di Joomlack), un’estensione page-builder per il sistema di gestione dei contenuti Joomla. Questa pagina spiega perché è importante e come correggere il problema.

Questo avviso riguarda CVE-2026-56290, una falla critica (CVSS 10.0), attivamente sfruttata, che consente l’esecuzione di codice remoto non autenticata tramite la funzione di caricamento del browser multimediale front-end dell’estensione. La correzione è stata rilasciata il 27 giugno 2026, e quale versione sia “corretta” dipende dalla vostra linea Joomla:

Se il vostro sito utilizza… Page Builder CK è corretto nella… Interessata (aggiornamento necessario)
Joomla 3 3.1.1 3.1.0 e precedenti
Joomla 4 3.4.10 3.4.9 e precedenti
Joomla 5 o 6 3.6.0 3.5.10 e precedenti

Se utilizzate una versione interessata, aggiornate alla versione corretta per la vostra linea Joomla il prima possibile. Poiché questa falla è stata sfruttata come zero-day, dovreste inoltre controllare il vostro sito alla ricerca di segni di compromissione (vedete Se utilizzavate una versione interessata più sotto).

Questa è una falla di un’estensione, non del nucleo di Joomla. Un nucleo di Joomla pienamente aggiornato non vi protegge se l’estensione Page Builder CK stessa è obsoleta.

Nota sui numeri di versione. Page Builder CK utilizza gli stessi numeri di versione nelle diverse release di Joomla, quindi il numero da solo non vi dice se siete al sicuro: dipende dalla vostra versione di Joomla. Ad esempio, la 3.1.2 è una build corretta su Joomla 3, ma un sito su Joomla 5 necessita della 3.6.0 o successiva. La tabella qui sopra è organizzata in base alla vostra linea Joomla proprio per questo motivo.

Questo messaggio è legittimo?

Sì. Si tratta di un avviso in buona fede, secondo il principio della divulgazione responsabile, da parte di un ricercatore di sicurezza indipendente. Non vi chiedo denaro, password o accesso al vostro sito, e non ho tentato di introdurmi in esso, di caricare alcunché o di sfruttare alcunché.

Tutto ciò che ho fatto è stato esaminare file pubblicamente visibili che il vostro sito fornisce a ogni visitatore (allo stesso modo in cui la vostra homepage è pubblica) e annotare il numero di versione che l’estensione Page Builder CK pubblica in quei file. In particolare non ho toccato la funzione di caricamento vulnerabile. Nulla di questo controllo tocca i vostri dati, la vostra area di amministrazione o alcuna parte privata del vostro sito.

Se desiderate verificare chi sono, consultate i recapiti in fondo a questa pagina e la pagina Informazioni.

Perché è importante

Page Builder CK è un page builder drag-and-drop molto diffuso per Joomla. Nelle versioni interessate, il browser multimediale front-end dell’estensione espone un’azione di caricamento che può essere raggiunta senza effettuare l’accesso e senza un controllo di sicurezza valido: al gestore del caricamento mancava il controllo di autorizzazione che dovrebbe limitarlo agli editori. Questo consente a un aggressore di caricare un programma di sua scelta ed eseguirlo sul vostro server: esecuzione di codice remoto completa.

Non si tratta di un rischio teorico. La falla è stata valutata 10,0 su 10, è stata sfruttata in rete come zero-day (con aggressori che hanno installato backdoor basate sul web per l’accesso persistente) ed è stata aggiunta al catalogo Known Exploited Vulnerabilities della Cybersecurity and Infrastructure Security Agency degli Stati Uniti il 7 luglio 2026.

Se la mia email ha citato questo problema, significa che la versione segnalata dal vostro sito rientra nell’intervallo interessato per la vostra linea Joomla. Non ho verificato se il vostro sito in particolare sia sfruttabile o già compromesso, ma solo che segnala una versione interessata.

La buona notizia: l’aggiornamento a una versione corretta chiude la falla, e l’aggiornamento è semplice.

Come verificare la vostra versione

Non dovete credermi sulla parola riguardo alla versione che state utilizzando.

Dal manifesto pubblico (nessun accesso necessario): aprite vostrodominio.it/administrator/components/com_pagebuilderck/pagebuilderck.xml in un browser. La riga <version> è la versione segnalata dalla vostra installazione di Page Builder CK, ed è lo stesso file pubblico che ho letto.

Dall’area di amministrazione (se avete accesso):

  1. Accedete all’amministrazione di Joomla (di solito all’indirizzo vostrodominio.it/administrator).
  2. Andate su Sistema poi Gestisci poi Estensioni (oppure Estensioni poi Gestisci, a seconda della vostra versione di Joomla).
  3. Cercate Page Builder CK e annotate la versione installata.

Confrontate quel numero con la tabella all’inizio di questa pagina per la vostra linea Joomla. Se siete pari o superiori alla versione corretta per la vostra linea (3.1.1 su Joomla 3, 3.4.10 su Joomla 4, 3.6.0 su Joomla 5/6), siete protetti; se siete al di sotto, dovreste aggiornare.

Come aggiornare

Il percorso più sicuro è aggiornare tramite Joomla stesso, effettuando prima un backup:

  1. Eseguite il backup del vostro sito (file e database) prima di apportare modifiche. La maggior parte dei provider di hosting offre backup con un clic, oppure usate un’estensione di backup per Joomla.
  2. Nell’amministrazione di Joomla, aprite Estensioni poi Gestisci poi Aggiorna e fate clic su Trova aggiornamenti. Se un aggiornamento di Page Builder CK è elencato, installatelo da qui: Joomla offrirà automaticamente la build corretta per la vostra linea Joomla.
  3. Se nessun aggiornamento compare lì, scaricate l’ultima versione direttamente dal fornitore, Joomlack, all’indirizzo https://www.joomlack.fr/en/joomla-extensions/page-builder-ck e installatela tramite Estensioni poi Installa.
  4. Dopo l’aggiornamento, confermate il nuovo numero di versione (la versione corretta per la vostra linea Joomla) seguendo i passaggi sopra, e verificate che il vostro sito si carichi e si modifichi normalmente.

Già che ci siete, vale la pena confermare che Joomla stesso e le vostre altre estensioni siano aggiornati, poiché lo stesso principio vale per tutti.

Se utilizzavate una versione interessata

Poiché questa falla è stata sfruttata prima che fosse disponibile una correzione, un sito che utilizzava una versione interessata non dovrebbe presumere che il semplice aggiornamento sia sufficiente. L’aggiornamento chiude la falla, ma non rimuove nulla di ciò che un aggressore possa aver già caricato. Voi (o il vostro webmaster) dovreste inoltre verificare se il sito sia stato violato:

  • File inattesi sul server. Un attacco di caricamento non autenticato lascia dietro di sé file collocati dall’aggressore, il più delle volte file .php (web shell) in directory di caricamento e multimediali scrivibili, come sotto /images/, /media/ o la directory multimediale di Page Builder CK (/media/com_pagebuilderck/). Cercate file di script con nomi dall’aspetto casuale, oppure file la cui data di modifica coincide con il momento in cui il sito potrebbe essere stato preso di mira, e rimuovete quelli di cui non sapete rendere conto.
  • Account amministratore fraudolenti. Gli attacchi di caricamento file vengono frequentemente utilizzati per creare account Super User nascosti per l’accesso persistente. Esaminate il vostro elenco utenti in Utenti poi Gestisci e rimuovete quelli che non riconoscete.
  • Modifiche inattese. File del nucleo modificati, nuove attività pianificate o override di template non familiari possono indicare una backdoor che sopravvive all’aggiornamento dell’estensione.

Se trovate uno di questi elementi, trattate il sito come compromesso: rimuovete i file e gli account fraudolenti, cambiate tutte le credenziali (amministrazione di Joomla, database, FTP/SSH, pannello di hosting), forzate tutti gli utenti a effettuare nuovamente l’accesso e valutate il ripristino da un backup noto come integro effettuato prima dell’intrusione. Se la vostra organizzazione dispone di un team di sicurezza IT o di un CERT nazionale, coinvolgeteli.

Voglio essere chiaro: non ho controllato il vostro sito alla ricerca di alcuno di questi indicatori, e non so se il vostro sito sia stato interessato. Questo elenco è qui affinché possiate controllare voi stessi.

Non ho un webmaster / sono bloccato

Se non siete la persona che gestisce il sito, inoltrate questa pagina a chi lo fa (il vostro sviluppatore web, la vostra agenzia o il vostro provider di hosting). Riconosceranno rapidamente i passaggi sopra.

Se gestite il sito da soli e vi bloccate, sarò lieto di aiutarvi a orientarvi nella direzione giusta senza alcun costo. Contattatemi usando i recapiti sottostanti.

Contatti

Evan Harris, Ricercatore di sicurezza

Contatto gli operatori riguardo a problemi come questo unicamente per aiutarli a mettere in sicurezza i loro siti. Se preferite non essere contattati di nuovo, ditemelo e rispetterò la vostra richiesta.

Riferimenti

Avvisi ufficiali e tracciamento

Fornitore (Joomlack)