Jeśli otrzymałeś ode mnie wiadomość e-mail kierującą Cię na tę stronę, to dlatego, że Twoja witryna najwyraźniej korzysta z podatnej wersji Page Builder CK (rozszerzenia com_pagebuilderck firmy Joomlack), rozszerzenia typu page builder dla systemu zarządzania treścią Joomla. Ta strona wyjaśnia, dlaczego to ważne i jak temu zaradzić.

Ten biuletyn dotyczy CVE-2026-56290, krytycznej (CVSS 10.0), aktywnie wykorzystywanej luki, która umożliwia nieuwierzytelnione zdalne wykonanie kodu poprzez funkcję przesyłania w przeglądarce mediów po stronie front-endu rozszerzenia. Poprawka ukazała się 27 czerwca 2026 r., a to, która wersja jest „naprawiona”, zależy od Twojej linii Joomla:

Jeśli Twoja strona korzysta z… Page Builder CK jest naprawiony w… Podatne (wymaga aktualizacji)
Joomla 3 3.1.1 3.1.0 i wcześniejsze
Joomla 4 3.4.10 3.4.9 i wcześniejsze
Joomla 5 lub 6 3.6.0 3.5.10 i wcześniejsze

Jeśli korzystasz z wersji, której dotyczy problem, zaktualizuj do naprawionego wydania dla swojej linii Joomla tak szybko, jak to możliwe. Ponieważ luka ta była wykorzystywana jako zero-day, powinieneś również sprawdzić swoją stronę pod kątem oznak naruszenia bezpieczeństwa (zobacz Jeśli korzystałeś z wersji, której dotyczy problem poniżej).

Jest to luka w rozszerzeniu, a nie w rdzeniu Joomla. W pełni aktualny rdzeń Joomla nie chroni Cię, jeśli samo rozszerzenie Page Builder CK jest nieaktualne.

Uwaga o numerach wersji. Page Builder CK używa tych samych numerów wersji w różnych wydaniach Joomla, więc sam numer nie mówi Ci, czy jesteś bezpieczny: zależy to od Twojej wersji Joomla. Na przykład 3.1.2 to naprawiona kompilacja na Joomla 3, ale strona na Joomla 5 potrzebuje 3.6.0 lub nowszej. Powyższa tabela jest właśnie z tego powodu przypisana do Twojej linii Joomla.

Czy ta wiadomość jest wiarygodna?

Tak. Jest to powiadomienie w dobrej wierze, zgodne z zasadą odpowiedzialnego ujawniania, od niezależnego badacza bezpieczeństwa. Nie proszę Cię o pieniądze, hasła ani dostęp do Twojej strony, i nie próbowałem się do niej włamać, niczego przesłać ani niczego wykorzystać.

Jedyne, co zrobiłem, to obejrzenie publicznie widocznych plików, które Twoja witryna udostępnia każdemu odwiedzającemu (tak samo jak publiczna jest Twoja strona główna), i odnotowanie numeru wersji, który rozszerzenie Page Builder CK publikuje w tych plikach. Świadomie nie dotknąłem podatnej funkcji przesyłania. Nic w tym sprawdzeniu nie dotyka Twoich danych, Twojego panelu administracyjnego ani żadnej prywatnej części Twojej strony.

Jeśli chcesz zweryfikować, kim jestem, zobacz dane kontaktowe na dole tej strony oraz stronę O tej stronie.

Dlaczego to ważne

Page Builder CK to szeroko używany kreator stron typu przeciągnij i upuść dla Joomla. W wersjach, których dotyczy problem, przeglądarka mediów rozszerzenia po stronie front-endu udostępnia akcję przesyłania, która może zostać osiągnięta bez logowania i bez ważnej kontroli bezpieczeństwa: w procedurze obsługi przesyłania brakowało kontroli autoryzacji, która powinna ograniczać ją do redaktorów. To pozwala atakującemu przesłać wybrany przez siebie program i uruchomić go na Twoim serwerze: pełne zdalne wykonanie kodu.

Nie jest to ryzyko teoretyczne. Luka otrzymała ocenę 10,0 na 10, była wykorzystywana w praktyce jako zero-day (a atakujący instalowali backdoory działające przez przeglądarkę w celu utrzymania trwałego dostępu) i została dodana do katalogu Known Exploited Vulnerabilities amerykańskiej Cybersecurity and Infrastructure Security Agency 7 lipca 2026 r.

Jeśli moja wiadomość e-mail przywołała ten problem, oznacza to, że wersja, którą zgłasza Twoja strona, mieści się w zakresie objętym problemem dla Twojej linii Joomla. Nie testowałem, czy Twoja konkretna strona jest podatna na wykorzystanie lub już naruszona, a jedynie to, że zgłasza wersję, której dotyczy problem.

Dobra wiadomość: aktualizacja do naprawionej wersji zamyka lukę, a sama aktualizacja jest prosta.

Jak sprawdzić swoją wersję

Nie musisz wierzyć mi na słowo co do tego, z jakiej wersji korzystasz.

Z publicznego manifestu (bez logowania): otwórz twojadomena.pl/administrator/components/com_pagebuilderck/pagebuilderck.xml w przeglądarce. Wiersz <version> to wersja, którą zgłasza Twoja instalacja Page Builder CK, i jest to ten sam publiczny plik, który odczytałem.

Z panelu administracyjnego (jeśli masz dostęp):

  1. Zaloguj się do administracji Joomla (zwykle pod adresem twojadomena.pl/administrator).
  2. Przejdź do System następnie Zarządzaj następnie Rozszerzenia (lub Rozszerzenia następnie Zarządzaj, w zależności od wersji Joomla).
  3. Wyszukaj Page Builder CK i odnotuj zainstalowaną wersję.

Porównaj ten numer z tabelą na górze tej strony dla swojej linii Joomla. Jeśli jesteś na naprawionej wersji dla swojej linii lub nowszej (3.1.1 na Joomla 3, 3.4.10 na Joomla 4, 3.6.0 na Joomla 5/6), jesteś załatany; jeśli jesteś poniżej, powinieneś zaktualizować.

Jak zaktualizować

Najbezpieczniejsza droga to aktualizacja przez samą Joomlę, po uprzednim utworzeniu kopii zapasowej:

  1. Utwórz kopię zapasową swojej strony (pliki i baza danych) przed wprowadzeniem zmian. Większość dostawców hostingu oferuje kopie zapasowe jednym kliknięciem, albo skorzystaj z rozszerzenia do tworzenia kopii zapasowych Joomla.
  2. W administracji Joomla otwórz Rozszerzenia następnie Zarządzaj następnie Aktualizuj i kliknij Znajdź aktualizacje. Jeśli aktualizacja Page Builder CK jest na liście, zainstaluj ją stąd: Joomla automatycznie zaproponuje właściwą kompilację dla Twojej linii Joomla.
  3. Jeśli nie pojawi się tam żadna aktualizacja, pobierz najnowsze wydanie bezpośrednio od producenta, Joomlack, pod adresem https://www.joomlack.fr/en/joomla-extensions/page-builder-ck i zainstaluj je przez Rozszerzenia następnie Zainstaluj.
  4. Po aktualizacji potwierdź nowy numer wersji (naprawione wydanie dla Twojej linii Joomla) zgodnie z powyższymi krokami i sprawdź, czy Twoja strona wczytuje się i pozwala na edycję jak zwykle.

Skoro już tam jesteś, warto potwierdzić, że sama Joomla oraz pozostałe rozszerzenia są aktualne, ponieważ ta sama zasada dotyczy ich wszystkich.

Jeśli korzystałeś z wersji, której dotyczy problem

Ponieważ ta luka była wykorzystywana zanim dostępna była poprawka, strona, która korzystała z wersji objętej problemem, nie powinna zakładać, że sama aktualizacja wystarczy. Aktualizacja zamyka lukę, ale nie usuwa niczego, co atakujący mógł już przesłać. Ty (lub Twój webmaster) powinniście również sprawdzić, czy do strony się nie włamano:

  • Nieoczekiwane pliki na serwerze. Atak z użyciem nieuwierzytelnionego przesyłania pozostawia pliki umieszczone przez atakującego, najczęściej pliki .php (web shelle) w zapisywalnych katalogach przesyłania i mediów, na przykład w /images/, /media/ lub w katalogu mediów Page Builder CK (/media/com_pagebuilderck/). Poszukaj plików skryptów o losowo wyglądających nazwach lub plików, których data modyfikacji pokrywa się z momentem, w którym strona mogła być celem ataku, i usuń wszystkie, których nie potrafisz wyjaśnić.
  • Nieuprawnione konta administratorów. Ataki z przesyłaniem plików są często wykorzystywane do tworzenia ukrytych kont Super User w celu utrzymania trwałego dostępu. Przejrzyj listę użytkowników w Użytkownicy następnie Zarządzaj i usuń wszystkie, których nie rozpoznajesz.
  • Nieoczekiwane zmiany. Zmodyfikowane pliki rdzenia, nowe zaplanowane zadania lub nieznane nadpisania szablonów mogą wskazywać na backdoora, który przetrwa aktualizację rozszerzenia.

Jeśli znajdziesz cokolwiek z powyższych, potraktuj stronę jako naruszoną: usuń podstawione pliki i konta, zmień wszystkie dane uwierzytelniające (administracja Joomla, baza danych, FTP/SSH, panel hostingu), wymuś ponowne zalogowanie wszystkich użytkowników i rozważ przywrócenie z pewnej, znanej jako czysta kopii zapasowej utworzonej przed włamaniem. Jeśli Twoja organizacja ma zespół bezpieczeństwa IT lub krajowy CERT, włącz ich do sprawy.

Chcę to jasno powiedzieć: nie sprawdzałem Twojej strony pod kątem żadnego z tych wskaźników i nie wiem, czy Twoja strona była objęta problemem. Ta lista znajduje się tutaj, abyś mógł sprawdzić samodzielnie.

Nie mam webmastera / utknąłem

Jeśli nie jesteś osobą, która utrzymuje stronę, prześlij tę stronę temu, kto to robi (Twojemu deweloperowi, agencji lub dostawcy hostingu). Szybko rozpoznają powyższe kroki.

Jeśli sam utrzymujesz stronę i utkniesz, chętnie pomogę Ci wskazać właściwy kierunek, bezpłatnie. Skontaktuj się, korzystając z danych kontaktowych poniżej.

Kontakt

Evan Harris, badacz bezpieczeństwa

Kontaktuję się w sprawach takich jak ta wyłącznie po to, by pomóc operatorom zabezpieczyć ich strony. Jeśli wolisz nie być więcej kontaktowany, po prostu daj mi znać, a uszanuję to.

Źródła

Oficjalne biuletyny i śledzenie

Producent (Joomlack)