Jeśli otrzymałeś ode mnie wiadomość e-mail kierującą Cię na tę stronę, to dlatego, że Twoja witryna najwyraźniej korzysta z podatnej wersji SP Page Builder (com_sppagebuilder firmy JoomShaper), rozszerzenia typu page builder dla systemu zarządzania treścią Joomla. Ta strona wyjaśnia, dlaczego to ważne i jak temu zaradzić.

Ten biuletyn dotyczy CVE-2026-48908, krytycznej (CVSS 10.0), aktywnie wykorzystywanej luki, która umożliwia nieuwierzytelnione zdalne wykonanie kodu poprzez funkcję przesyłania niestandardowych ikon w rozszerzeniu. Dotyczy ona wersji SP Page Builder 4.0.0 do 6.6.1 i została naprawiona w 6.6.2. (Funkcja przesyłania niestandardowych ikon, której dotyczy problem, została wprowadzona w SP Page Builder 4.0, więc linie 1.x, 2.x i 3.x (każde wydanie przed 4.0) jej nie zawierają i nie są objęte tym problemem.) Jeśli korzystasz z wersji, której dotyczy problem, zaktualizuj do SP Page Builder 6.6.2 lub nowszej tak szybko, jak to możliwe. Ponieważ luka ta była wykorzystywana jako zero-day, powinieneś również sprawdzić swoją stronę pod kątem oznak naruszenia bezpieczeństwa (zobacz Jeśli korzystałeś z wersji, której dotyczy problem poniżej).

Jest to luka w rozszerzeniu, a nie w rdzeniu Joomla. Dotyczy stron na Joomla 3, 4, 5 oraz 6 w równym stopniu: w pełni aktualny rdzeń Joomla nie chroni Cię, jeśli samo rozszerzenie SP Page Builder jest nieaktualne.

Czy ta wiadomość jest wiarygodna?

Tak. Jest to powiadomienie w dobrej wierze, zgodne z zasadą odpowiedzialnego ujawniania, od niezależnego badacza bezpieczeństwa. Nie proszę Cię o pieniądze, hasła ani dostęp do Twojej strony, i nie próbowałem się do niej włamać, niczego przesłać ani niczego wykorzystać.

Jedyne, co zrobiłem, to obejrzenie publicznie widocznych plików, które Twoja witryna udostępnia każdemu odwiedzającemu (tak samo jak publiczna jest Twoja strona główna), i odnotowanie numeru wersji, który rozszerzenie SP Page Builder publikuje w tych plikach. Świadomie nie dotknąłem podatnej funkcji przesyłania. Nic w tym sprawdzeniu nie dotyka Twoich danych, Twojego panelu administracyjnego ani żadnej prywatnej części Twojej strony.

Jeśli chcesz zweryfikować, kim jestem, zobacz dane kontaktowe na dole tej strony oraz stronę O tej stronie.

Dlaczego to ważne

SP Page Builder to bardzo szeroko używany kreator stron typu przeciągnij i upuść dla Joomla. W wersjach, których dotyczy problem, funkcja mająca umożliwiać administratorom przesłanie własnego zestawu ikon może zostać osiągnięta bez logowania i bez żadnego tokena bezpieczeństwa, i nie sprawdza ona poprawnie, jakiego rodzaju plik jest przesyłany. To połączenie pozwala atakującemu przesłać wybrany przez siebie program i uruchomić go na Twoim serwerze: pełne zdalne wykonanie kodu.

Nie jest to ryzyko teoretyczne. Luka otrzymała ocenę 10,0 na 10, była wykorzystywana w praktyce jako zero-day i została dodana do katalogu Known Exploited Vulnerabilities amerykańskiej Cybersecurity and Infrastructure Security Agency 7 lipca 2026 r., z federalnym terminem załatania do 10 lipca 2026 r. Rzeczywiste ataki z użyciem tej luki instalowały ukryte konta administratorów oraz backdoory działające przez przeglądarkę w celu utrzymania trwałego dostępu.

Jeśli moja wiadomość e-mail przywołała ten problem, oznacza to, że wersja, którą zgłasza Twoja strona, mieści się w zakresie, którego dotyczy problem. Nie testowałem, czy Twoja konkretna strona jest podatna na wykorzystanie lub już naruszona, a jedynie to, że zgłasza wersję, której dotyczy problem.

Dobra wiadomość: aktualizacja do naprawionej wersji zamyka lukę, a sama aktualizacja jest prosta.

Jak sprawdzić swoją wersję

Nie musisz wierzyć mi na słowo co do tego, z jakiej wersji korzystasz.

Z publicznego manifestu (bez logowania): otwórz twojadomena.pl/administrator/components/com_sppagebuilder/sppagebuilder.xml w przeglądarce. Wiersz <version> to wersja, którą zgłasza Twoja instalacja SP Page Builder, i jest to ten sam publiczny plik, który odczytałem.

Z panelu administracyjnego (jeśli masz dostęp):

  1. Zaloguj się do administracji Joomla (zwykle pod adresem twojadomena.pl/administrator).
  2. Przejdź do System następnie Zarządzaj następnie Rozszerzenia (lub Rozszerzenia następnie Zarządzaj, w zależności od wersji Joomla).
  3. Wyszukaj SP Page Builder i odnotuj zainstalowaną wersję.

Jeśli wersja mieści się między 4.0.0 a 6.6.1, korzystasz z wersji, której dotyczy problem, i powinieneś zaktualizować. 6.6.2 i nowsze są naprawione, a wersje przed 4.0.0 nie mają funkcji, której dotyczy problem (choć nie są już wspierane i warto je zaktualizować z innych powodów).

Jak zaktualizować

Najbezpieczniejsza droga to aktualizacja przez samą Joomlę, po uprzednim utworzeniu kopii zapasowej:

  1. Utwórz kopię zapasową swojej strony (pliki i baza danych) przed wprowadzeniem zmian. Większość dostawców hostingu oferuje kopie zapasowe jednym kliknięciem, albo skorzystaj z rozszerzenia do tworzenia kopii zapasowych Joomla.
  2. W administracji Joomla otwórz Rozszerzenia następnie Zarządzaj następnie Aktualizuj i kliknij Znajdź aktualizacje. Jeśli aktualizacja SP Page Builder jest na liście, zainstaluj ją stąd.
  3. Jeśli nie pojawi się tam żadna aktualizacja, pobierz najnowsze wydanie bezpośrednio od producenta, JoomShaper, pod adresem https://www.joomshaper.com/page-builder i zainstaluj je przez Rozszerzenia następnie Zainstaluj.
  4. Po aktualizacji potwierdź nowy numer wersji (6.6.2 lub nowszy) zgodnie z powyższymi krokami i sprawdź, czy Twoja strona wczytuje się i pozwala na edycję jak zwykle.

Skoro już tam jesteś, warto potwierdzić, że sama Joomla oraz pozostałe rozszerzenia są aktualne, ponieważ ta sama zasada dotyczy ich wszystkich.

Jeśli korzystałeś z wersji, której dotyczy problem

Ponieważ ta luka była wykorzystywana zanim dostępna była poprawka, strona, która korzystała z wersji objętej problemem, nie powinna zakładać, że sama aktualizacja wystarczy. Powinieneś również sprawdzić, czy do strony już się nie włamano. Publicznie udokumentowane ataki z użyciem tej podatności pozostawiały następujące ślady, których Ty (lub Twój webmaster) możecie szukać na swojej własnej stronie:

  • Nieuprawnione konta administratorów. Atakujący tworzyli ukryte konta Super User, często z adresami e-mail kończącymi się na @secure.local i nazwami użytkowników takimi jak webeditor, contentmgr, sysadmin, webmaster, portaladmin, siteeditor, webmanager lub cmsadmin (często z dwiema cyframi na końcu, np. webeditor48). Przejrzyj listę użytkowników w Użytkownicy następnie Zarządzaj i usuń wszystkie, których nie rozpoznajesz.
  • Pliki backdoora. Nieoczekiwane pliki PHP w /media/com_sppagebuilder/assets/iconfont/ lub przypadkowe pliki takie jak /media/com_admin/users.php czy /media/regularlabs/users.php. Popularny backdoor identyfikuje się tekstem “PHP File manager” wewnątrz pliku.

Jeśli znajdziesz cokolwiek z powyższych, potraktuj stronę jako naruszoną: usuń nieuprawnione konta i pliki, zmień wszystkie dane uwierzytelniające (administracja Joomla, baza danych, FTP/SSH, panel hostingu), wymuś ponowne zalogowanie wszystkich użytkowników i rozważ przywrócenie z pewnej, znanej jako czysta kopii zapasowej utworzonej przed włamaniem. Jeśli Twoja organizacja ma zespół bezpieczeństwa IT lub krajowy CERT, włącz ich do sprawy.

Chcę to jasno powiedzieć: nie sprawdzałem Twojej strony pod kątem żadnego z tych wskaźników i nie wiem, czy Twoja strona była objęta problemem. Ta lista znajduje się tutaj, abyś mógł sprawdzić samodzielnie.

Nie mam webmastera / utknąłem

Jeśli nie jesteś osobą, która utrzymuje stronę, prześlij tę stronę temu, kto to robi (Twojemu deweloperowi, agencji lub dostawcy hostingu). Szybko rozpoznają powyższe kroki.

Jeśli sam utrzymujesz stronę i utkniesz, chętnie pomogę Ci wskazać właściwy kierunek, bezpłatnie. Skontaktuj się, korzystając z danych kontaktowych poniżej.

Kontakt

Evan Harris, badacz bezpieczeństwa

Kontaktuję się w sprawach takich jak ta wyłącznie po to, by pomóc operatorom zabezpieczyć ich strony. Jeśli wolisz nie być więcej kontaktowany, po prostu daj mi znać, a uszanuję to.

Źródła

Oficjalne biuletyny i śledzenie

Producent (JoomShaper)

Doniesienia i analizy