Se avete ricevuto un’email da parte mia che vi indirizza a questa pagina, è perché il vostro sito sembra utilizzare una versione vulnerabile di SP Page Builder (il com_sppagebuilder di JoomShaper), un’estensione page-builder per il sistema di gestione dei contenuti Joomla. Questa pagina spiega perché è importante e come correggere il problema.

Questo avviso riguarda CVE-2026-48908, una falla critica (CVSS 10.0), attivamente sfruttata, che consente l’esecuzione di codice remoto non autenticata tramite la funzione di caricamento di icone personalizzate dell’estensione. Interessa le versioni di SP Page Builder dalla 4.0.0 alla 6.6.1 ed è corretta nella 6.6.2. (La funzione di caricamento di icone personalizzate interessata è stata introdotta in SP Page Builder 4.0, quindi la linea 1.x, 2.x e 3.x (qualsiasi versione precedente alla 4.0) non la contiene e non è interessata da questo problema.) Se utilizzate una versione interessata, aggiornate a SP Page Builder 6.6.2 o successiva il prima possibile. Poiché questa falla è stata sfruttata come zero-day, dovreste inoltre controllare il vostro sito alla ricerca di segni di compromissione (vedete Se utilizzavate una versione interessata più sotto).

Questa è una falla di un’estensione, non del nucleo di Joomla. Interessa allo stesso modo i siti su Joomla 3, 4, 5 e 6: un nucleo di Joomla pienamente aggiornato non vi protegge se l’estensione SP Page Builder stessa è obsoleta.

Questo messaggio è legittimo?

Sì. Si tratta di un avviso in buona fede, secondo il principio della divulgazione responsabile, da parte di un ricercatore di sicurezza indipendente. Non vi chiedo denaro, password o accesso al vostro sito, e non ho tentato di introdurmi in esso, di caricare alcunché o di sfruttare alcunché.

Tutto ciò che ho fatto è stato esaminare file pubblicamente visibili che il vostro sito fornisce a ogni visitatore (allo stesso modo in cui la vostra homepage è pubblica) e annotare il numero di versione che l’estensione SP Page Builder pubblica in quei file. In particolare non ho toccato la funzione di caricamento vulnerabile. Nulla di questo controllo tocca i vostri dati, la vostra area di amministrazione o alcuna parte privata del vostro sito.

Se desiderate verificare chi sono, consultate i recapiti in fondo a questa pagina e la pagina Informazioni.

Perché è importante

SP Page Builder è un page builder drag-and-drop molto diffuso per Joomla. Nelle versioni interessate, una funzione pensata per consentire agli amministratori di caricare un set di icone personalizzato può essere raggiunta senza effettuare l’accesso e senza alcun token di sicurezza, e non verifica correttamente il tipo di file che viene caricato. Questa combinazione consente a un aggressore di caricare un programma di sua scelta ed eseguirlo sul vostro server: esecuzione di codice remoto completa.

Non si tratta di un rischio teorico. La falla è stata valutata 10,0 su 10, è stata sfruttata in rete come zero-day ed è stata aggiunta al catalogo Known Exploited Vulnerabilities della Cybersecurity and Infrastructure Security Agency degli Stati Uniti il 7 luglio 2026, con una scadenza federale per l’applicazione della patch al 10 luglio 2026. Gli attacchi reali che sfruttano questa falla hanno installato account amministratore nascosti e backdoor basate sul web per l’accesso persistente.

Se la mia email ha citato questo problema, significa che la versione segnalata dal vostro sito rientra nell’intervallo interessato. Non ho verificato se il vostro sito in particolare sia sfruttabile o già compromesso, ma solo che segnala una versione interessata.

La buona notizia: l’aggiornamento a una versione corretta chiude la falla, e l’aggiornamento è semplice.

Come verificare la vostra versione

Non dovete credermi sulla parola riguardo alla versione che state utilizzando.

Dal manifesto pubblico (nessun accesso necessario): aprite vostrodominio.it/administrator/components/com_sppagebuilder/sppagebuilder.xml in un browser. La riga <version> è la versione segnalata dalla vostra installazione di SP Page Builder, ed è lo stesso file pubblico che ho letto.

Dall’area di amministrazione (se avete accesso):

  1. Accedete all’amministrazione di Joomla (di solito all’indirizzo vostrodominio.it/administrator).
  2. Andate su Sistema poi Gestisci poi Estensioni (oppure Estensioni poi Gestisci, a seconda della vostra versione di Joomla).
  3. Cercate SP Page Builder e annotate la versione installata.

Se la versione è compresa tra 4.0.0 e 6.6.1, utilizzate una versione interessata e dovreste aggiornare. Le versioni 6.6.2 e successive sono corrette, e le versioni precedenti alla 4.0.0 non hanno la funzione interessata (sebbene siano a fine vita e sia opportuno aggiornarle per altri motivi).

Come aggiornare

Il percorso più sicuro è aggiornare tramite Joomla stesso, effettuando prima un backup:

  1. Eseguite il backup del vostro sito (file e database) prima di apportare modifiche. La maggior parte dei provider di hosting offre backup con un clic, oppure usate un’estensione di backup per Joomla.
  2. Nell’amministrazione di Joomla, aprite Estensioni poi Gestisci poi Aggiorna e fate clic su Trova aggiornamenti. Se un aggiornamento di SP Page Builder è elencato, installatelo da qui.
  3. Se nessun aggiornamento compare lì, scaricate l’ultima versione direttamente dal fornitore, JoomShaper, all’indirizzo https://www.joomshaper.com/page-builder e installatela tramite Estensioni poi Installa.
  4. Dopo l’aggiornamento, confermate il nuovo numero di versione (6.6.2 o successiva) seguendo i passaggi sopra, e verificate che il vostro sito si carichi e si modifichi normalmente.

Già che ci siete, vale la pena confermare che Joomla stesso e le vostre altre estensioni siano aggiornati, poiché lo stesso principio vale per tutti.

Se utilizzavate una versione interessata

Poiché questa falla è stata sfruttata prima che fosse disponibile una correzione, un sito che utilizzava una versione interessata non dovrebbe presumere che il semplice aggiornamento sia sufficiente. Dovreste inoltre verificare se il sito sia già stato violato. Gli attacchi pubblicamente documentati che sfruttano questa vulnerabilità hanno lasciato queste tracce, che voi (o il vostro webmaster) potete cercare sul vostro sito:

  • Account amministratore fraudolenti. Gli aggressori hanno creato account Super User nascosti, spesso con indirizzi email che terminano in @secure.local e nomi utente come webeditor, contentmgr, sysadmin, webmaster, portaladmin, siteeditor, webmanager o cmsadmin (frequentemente con due cifre alla fine, ad esempio webeditor48). Esaminate il vostro elenco utenti in Utenti poi Gestisci e rimuovete quelli che non riconoscete.
  • File backdoor. File PHP inattesi sotto /media/com_sppagebuilder/assets/iconfont/, oppure file estranei come /media/com_admin/users.php o /media/regularlabs/users.php. Una backdoor comune si identifica con il testo “PHP File manager” all’interno del file.

Se trovate uno di questi elementi, trattate il sito come compromesso: rimuovete gli account e i file fraudolenti, cambiate tutte le credenziali (amministrazione di Joomla, database, FTP/SSH, pannello di hosting), forzate tutti gli utenti a effettuare nuovamente l’accesso e valutate il ripristino da un backup noto come integro effettuato prima dell’intrusione. Se la vostra organizzazione dispone di un team di sicurezza IT o di un CERT nazionale, coinvolgeteli.

Voglio essere chiaro: non ho controllato il vostro sito alla ricerca di alcuno di questi indicatori, e non so se il vostro sito sia stato interessato. Questo elenco è qui affinché possiate controllare voi stessi.

Non ho un webmaster / sono bloccato

Se non siete la persona che gestisce il sito, inoltrate questa pagina a chi lo fa (il vostro sviluppatore web, la vostra agenzia o il vostro provider di hosting). Riconosceranno rapidamente i passaggi sopra.

Se gestite il sito da soli e vi bloccate, sarò lieto di aiutarvi a orientarvi nella direzione giusta senza alcun costo. Contattatemi usando i recapiti sottostanti.

Contatti

Evan Harris, Ricercatore di sicurezza

Contatto gli operatori riguardo a problemi come questo unicamente per aiutarli a mettere in sicurezza i loro siti. Se preferite non essere contattati di nuovo, ditemelo e rispetterò la vostra richiesta.

Riferimenti

Avvisi ufficiali e tracciamento

Fornitore (JoomShaper)

Segnalazioni e analisi