Notificare de securitate Page Builder CK
Dacă ați primit de la mine un e-mail care vă îndrumă către această pagină, este pentru că
site-ul dumneavoastră pare să ruleze o versiune vulnerabilă a Page Builder CK
(com_pagebuilderck de la Joomlack), o extensie de tip page builder pentru sistemul de
gestionare a conținutului Joomla. Această pagină explică de ce contează acest lucru și cum se
remediază.
Această notificare privește CVE-2026-56290, o vulnerabilitate critică (CVSS 10.0), exploatată activ, care permite execuția de cod la distanță fără autentificare prin funcția de încărcare din browserul media front-end al extensiei. Remedierea a fost publicată pe 27 iunie 2026, iar versiunea considerată “remediată” depinde de linia dumneavoastră de Joomla:
| Dacă site-ul dumneavoastră rulează… | Page Builder CK este remediat în… | Afectate (necesită actualizare) |
|---|---|---|
| Joomla 3 | 3.1.1 | 3.1.0 și anterioare |
| Joomla 4 | 3.4.10 | 3.4.9 și anterioare |
| Joomla 5 sau 6 | 3.6.0 | 3.5.10 și anterioare |
Dacă rulați o versiune afectată, actualizați la versiunea remediată pentru linia dumneavoastră de Joomla cât mai curând posibil. Deoarece aceasta a fost exploatată ca vulnerabilitate de tip zero-day, ar trebui de asemenea să verificați dacă există semne de compromitere pe site-ul dumneavoastră (consultați Dacă ați folosit o versiune afectată mai jos).
Aceasta este o vulnerabilitate a unei extensii, nu a nucleului Joomla. Un nucleu Joomla complet actualizat nu vă protejează dacă extensia Page Builder CK în sine este învechită.
Notă privind numerele de versiune. Page Builder CK folosește aceleași numere de versiune pe diferite versiuni de Joomla, așa că numărul singur nu vă spune dacă sunteți în siguranță: depinde de versiunea dumneavoastră de Joomla. De exemplu, 3.1.2 este o versiune remediată pe Joomla 3, dar un site pe Joomla 5 are nevoie de 3.6.0 sau o versiune ulterioară. Tabelul de mai sus este structurat în funcție de linia dumneavoastră de Joomla exact din acest motiv.
Este acest mesaj legitim?
Da. Aceasta este o notificare de bună-credință, prin divulgare responsabilă, din partea unui cercetător independent în securitate. Nu vă cer bani, parole sau acces la site-ul dumneavoastră și nu am încercat să pătrund în el, să încarc ceva sau să exploatez ceva.
Tot ce am făcut a fost să mă uit la fișiere vizibile public pe care site-ul dumneavoastră le servește fiecărui vizitator (la fel cum pagina dumneavoastră de start este publică) și să notez numărul versiunii pe care extensia Page Builder CK îl publică în acele fișiere. În mod special, nu am atins funcția vulnerabilă de încărcare. Nimic din această verificare nu atinge datele dumneavoastră, zona de administrare sau vreo parte privată a site-ului.
Dacă doriți să verificați cine sunt, consultați datele de contact din partea de jos a acestei pagini și pagina Despre.
De ce contează
Page Builder CK este un page builder de tip drag-and-drop foarte răspândit pentru Joomla. În versiunile afectate, browserul media front-end al extensiei expune o acțiune de încărcare care poate fi accesată fără autentificare și fără o verificare de securitate validă: gestionarul de încărcare nu avea verificarea de autorizare care ar fi trebuit să o restrângă la editori. Aceasta permite unui atacator să încarce un program la alegerea sa și să îl ruleze pe serverul dumneavoastră: execuție de cod la distanță completă.
Acesta nu este un risc teoretic. Vulnerabilitatea a primit scorul 10,0 din 10, a fost exploatată în mediul real ca vulnerabilitate de tip zero-day (atacatorii instalând backdoor-uri bazate pe web pentru acces persistent) și a fost adăugată în catalogul Known Exploited Vulnerabilities al Agenției pentru Securitate Cibernetică și Securitatea Infrastructurii din SUA pe 7 iulie 2026.
Dacă e-mailul meu a citat această problemă, înseamnă că versiunea raportată de site-ul dumneavoastră se încadrează în intervalul afectat pentru linia dumneavoastră de Joomla. Nu am testat dacă site-ul dumneavoastră anume este exploatabil sau deja compromis, ci doar că raportează o versiune afectată.
Vestea bună: actualizarea la o versiune remediată închide breșa, iar actualizarea este simplă.
Cum să vă verificați versiunea
Nu trebuie să mă credeți pe cuvânt cu privire la versiunea pe care o rulați.
Din manifestul public (nu este nevoie de autentificare): deschideți
yourdomain.com/administrator/components/com_pagebuilderck/pagebuilderck.xml într-un browser.
Linia <version> este versiunea pe care o raportează instalarea dumneavoastră de Page Builder
CK, iar acesta este același fișier public pe care l-am citit eu.
Din zona de administrare (dacă aveți acces):
- Autentificați-vă în administrarea Joomla (de obicei la
yourdomain.com/administrator). - Accesați System apoi Manage apoi Extensions (sau Extensions apoi Manage, în funcție de versiunea dumneavoastră de Joomla).
- Căutați Page Builder CK și notați versiunea instalată.
Comparați acel număr cu tabelul din partea de sus a acestei pagini pentru linia dumneavoastră de Joomla. Dacă sunteți la sau peste versiunea remediată pentru linia dumneavoastră (3.1.1 pe Joomla 3, 3.4.10 pe Joomla 4, 3.6.0 pe Joomla 5/6), sunteți protejat; dacă sunteți sub aceasta, ar trebui să actualizați.
Cum să actualizați
Cea mai sigură cale este să actualizați prin Joomla însuși și să faceți mai întâi o copie de rezervă:
- Faceți o copie de rezervă a site-ului (fișiere și baza de date) înainte de a face modificări. Majoritatea furnizorilor de găzduire oferă copii de rezervă cu un singur clic sau folosiți o extensie de backup pentru Joomla.
- În administrarea Joomla, deschideți Extensions apoi Manage apoi Update și apăsați Find Updates. Dacă este listată o actualizare Page Builder CK, instalați-o de aici: Joomla va oferi automat versiunea corectă pentru linia dumneavoastră de Joomla.
- Dacă nu apare nicio actualizare acolo, descărcați cea mai recentă versiune direct de la producător, Joomlack, la https://www.joomlack.fr/en/joomla-extensions/page-builder-ck și instalați-o prin Extensions apoi Install.
- După actualizare, confirmați noul număr al versiunii (versiunea remediată pentru linia dumneavoastră de Joomla) folosind pașii de mai sus și verificați că site-ul se încarcă și se editează normal.
Cât timp sunteți acolo, merită să confirmați că Joomla însuși și celelalte extensii ale dumneavoastră sunt actualizate, deoarece același principiu se aplică tuturor.
Dacă ați folosit o versiune afectată
Deoarece această vulnerabilitate a fost exploatată înainte ca o remediere să fie disponibilă, un site care a rulat o versiune afectată nu ar trebui să presupună că simpla actualizare este suficientă. Actualizarea închide breșa, dar nu elimină nimic din ceea ce un atacator ar fi putut încărca deja. Dumneavoastră (sau webmasterul dumneavoastră) ar trebui de asemenea să verificați dacă site-ul a fost spart:
- Fișiere neașteptate pe server. Un atac prin încărcare neautentificată lasă în urmă
fișiere plasate de atacator, cel mai adesea fișiere
.php(web shell-uri) în directoarele de încărcare și media în care se poate scrie, precum cele de sub/images/,/media/sau directorul media Page Builder CK (/media/com_pagebuilderck/). Căutați fișiere de tip script cu nume care par aleatorii sau fișiere a căror dată de modificare coincide cu momentul în care site-ul ar fi putut fi vizat și eliminați orice nu puteți explica. - Conturi de administrator neautorizate. Atacurile prin încărcare de fișiere sunt frecvent folosite pentru a crea conturi Super User ascunse pentru acces persistent. Examinați lista dumneavoastră de utilizatori în Users apoi Manage și eliminați orice cont pe care nu îl recunoașteți.
- Modificări neașteptate. Fișiere de nucleu modificate, sarcini programate noi sau suprascrieri nefamiliare de șabloane pot indica un backdoor care supraviețuiește actualizării extensiei.
Dacă găsiți oricare dintre acestea, tratați site-ul ca fiind compromis: eliminați fișierele și conturile neautorizate, schimbați toate credențialele (administrarea Joomla, baza de date, FTP/SSH, panoul de găzduire), forțați toți utilizatorii să se autentifice din nou și luați în considerare restaurarea dintr-o copie de rezervă cunoscută ca fiind curată, făcută înainte de intruziune. Dacă organizația dumneavoastră are o echipă de securitate IT sau un CERT național, implicați-i.
Vreau să fiu clar: nu am verificat site-ul dumneavoastră pentru niciunul dintre acești indicatori și nu știu dacă site-ul dumneavoastră a fost afectat. Această listă este aici ca să puteți verifica dumneavoastră.
Nu am un webmaster / m-am blocat
Dacă nu sunteți persoana care întreține site-ul, vă rog să transmiteți această pagină celui care o face (dezvoltatorul dumneavoastră web, agenția sau furnizorul de găzduire). Vor recunoaște rapid pașii de mai sus.
Dacă întrețineți site-ul dumneavoastră și v-ați blocat, vă ajut cu plăcere să vă orientați în direcția corectă, fără niciun cost. Contactați-mă folosind datele de contact de mai jos.
Contact
Evan Harris, cercetător în securitate
- E-mail: security@mail.mcpsec.dev
- X: @Evan__Harris
- GitHub: eharris128
- LinkedIn: Evan Harris
Iau legătura în privința unor probleme ca aceasta pur și simplu pentru a ajuta operatorii să-și securizeze site-urile. Dacă preferați să nu mai fiți contactat, doar spuneți-mi și voi respecta acest lucru.
Referințe
Buletine oficiale și urmărire
- Înregistrare NVD (CVE-2026-56290)
- Catalogul CISA de vulnerabilități exploatate cunoscute
- Alertă CISA (7 iulie 2026)
Producător (Joomlack)