Notificare de securitate SP Page Builder
Dacă ați primit de la mine un e-mail care vă îndrumă către această pagină, este pentru că
site-ul dumneavoastră pare să ruleze o versiune vulnerabilă a SP Page Builder
(com_sppagebuilder de la JoomShaper), o extensie de tip page builder pentru sistemul de
gestionare a conținutului Joomla. Această pagină explică de ce contează acest lucru și cum se
remediază.
Această notificare privește CVE-2026-48908, o vulnerabilitate critică (CVSS 10.0), exploatată activ, care permite execuția de cod la distanță fără autentificare prin funcția de încărcare a pictogramelor personalizate din extensie. Ea afectează versiunile SP Page Builder de la 4.0.0 până la 6.6.1 și este remediată în 6.6.2. (Funcția afectată de încărcare a pictogramelor personalizate a fost introdusă în SP Page Builder 4.0, așa că liniile 1.x, 2.x și 3.x (orice versiune anterioară 4.0) nu o conțin și nu sunt afectate de această problemă.) Dacă rulați o versiune afectată, actualizați la SP Page Builder 6.6.2 sau o versiune ulterioară cât mai curând posibil. Deoarece aceasta a fost exploatată ca vulnerabilitate de tip zero-day, ar trebui de asemenea să verificați dacă există semne de compromitere pe site-ul dumneavoastră (consultați Dacă ați folosit o versiune afectată mai jos).
Aceasta este o vulnerabilitate a unei extensii, nu a nucleului Joomla. Ea afectează în egală măsură site-urile pe Joomla 3, 4, 5 și 6: un nucleu Joomla complet actualizat nu vă protejează dacă extensia SP Page Builder în sine este învechită.
Este acest mesaj legitim?
Da. Aceasta este o notificare de bună-credință, prin divulgare responsabilă, din partea unui cercetător independent în securitate. Nu vă cer bani, parole sau acces la site-ul dumneavoastră și nu am încercat să pătrund în el, să încarc ceva sau să exploatez ceva.
Tot ce am făcut a fost să mă uit la fișiere vizibile public pe care site-ul dumneavoastră le servește fiecărui vizitator (la fel cum pagina dumneavoastră de start este publică) și să notez numărul versiunii pe care extensia SP Page Builder îl publică în acele fișiere. În mod special, nu am atins funcția vulnerabilă de încărcare. Nimic din această verificare nu atinge datele dumneavoastră, zona de administrare sau vreo parte privată a site-ului.
Dacă doriți să verificați cine sunt, consultați datele de contact din partea de jos a acestei pagini și pagina Despre.
De ce contează
SP Page Builder este un page builder de tip drag-and-drop foarte răspândit pentru Joomla. În versiunile afectate, o funcție menită să permită administratorilor să încarce un set de pictograme personalizat poate fi accesată fără autentificare și fără niciun token de securitate, iar aceasta nu verifică în mod corespunzător ce fel de fișier este încărcat. Această combinație permite unui atacator să încarce un program la alegerea sa și să îl ruleze pe serverul dumneavoastră: execuție de cod la distanță completă.
Acesta nu este un risc teoretic. Vulnerabilitatea a primit scorul 10,0 din 10, a fost exploatată în mediul real ca vulnerabilitate de tip zero-day și a fost adăugată în catalogul Known Exploited Vulnerabilities al Agenției pentru Securitate Cibernetică și Securitatea Infrastructurii din SUA (CISA) pe 7 iulie 2026, cu un termen federal de aplicare a patch-ului pe 10 iulie 2026. Atacurile din lumea reală care au folosit această vulnerabilitate au instalat conturi de administrator ascunse și backdoor-uri bazate pe web pentru acces persistent.
Dacă e-mailul meu a citat această problemă, înseamnă că versiunea raportată de site-ul dumneavoastră se încadrează în intervalul afectat. Nu am testat dacă site-ul dumneavoastră anume este exploatabil sau deja compromis, ci doar că raportează o versiune afectată.
Vestea bună: actualizarea la o versiune remediată închide breșa, iar actualizarea este simplă.
Cum să vă verificați versiunea
Nu trebuie să mă credeți pe cuvânt cu privire la versiunea pe care o rulați.
Din manifestul public (nu este nevoie de autentificare): deschideți
yourdomain.com/administrator/components/com_sppagebuilder/sppagebuilder.xml într-un browser.
Linia <version> este versiunea pe care o raportează instalarea dumneavoastră de SP Page
Builder, iar acesta este același fișier public pe care l-am citit eu.
Din zona de administrare (dacă aveți acces):
- Autentificați-vă în administrarea Joomla (de obicei la
yourdomain.com/administrator). - Accesați System apoi Manage apoi Extensions (sau Extensions apoi Manage, în funcție de versiunea dumneavoastră de Joomla).
- Căutați SP Page Builder și notați versiunea instalată.
Dacă versiunea este între 4.0.0 și 6.6.1, folosiți o versiune afectată și ar trebui să actualizați. 6.6.2 și versiunile ulterioare sunt remediate, iar versiunile anterioare 4.0.0 nu au funcția afectată (deși sunt ajunse la sfârșitul ciclului de viață și merită actualizate din alte motive).
Cum să actualizați
Cea mai sigură cale este să actualizați prin Joomla însuși și să faceți mai întâi o copie de rezervă:
- Faceți o copie de rezervă a site-ului (fișiere și baza de date) înainte de a face modificări. Majoritatea furnizorilor de găzduire oferă copii de rezervă cu un singur clic sau folosiți o extensie de backup pentru Joomla.
- În administrarea Joomla, deschideți Extensions apoi Manage apoi Update și apăsați Find Updates. Dacă este listată o actualizare SP Page Builder, instalați-o de aici.
- Dacă nu apare nicio actualizare acolo, descărcați cea mai recentă versiune direct de la producător, JoomShaper, la https://www.joomshaper.com/page-builder și instalați-o prin Extensions apoi Install.
- După actualizare, confirmați noul număr al versiunii (6.6.2 sau o versiune ulterioară) folosind pașii de mai sus și verificați că site-ul se încarcă și se editează normal.
Cât timp sunteți acolo, merită să confirmați că Joomla însuși și celelalte extensii ale dumneavoastră sunt actualizate, deoarece același principiu se aplică tuturor.
Dacă ați folosit o versiune afectată
Deoarece această vulnerabilitate a fost exploatată înainte ca o remediere să fie disponibilă, un site care a rulat o versiune afectată nu ar trebui să presupună că simpla actualizare este suficientă. Ar trebui de asemenea să verificați dacă site-ul a fost deja spart. Atacurile documentate public care au folosit această vulnerabilitate au lăsat în urmă aceste urme, pe care dumneavoastră (sau webmasterul dumneavoastră) le puteți căuta pe propriul dumneavoastră site:
- Conturi de administrator neautorizate. Atacatorii au creat conturi Super User
ascunse, adesea cu adrese de e-mail care se termină în
@secure.localși nume de utilizator precumwebeditor,contentmgr,sysadmin,webmaster,portaladmin,siteeditor,webmanagersaucmsadmin(frecvent cu două cifre la final, de exempluwebeditor48). Examinați lista dumneavoastră de utilizatori în Users apoi Manage și eliminați orice cont pe care nu îl recunoașteți. - Fișiere backdoor. Fișiere PHP neașteptate în
/media/com_sppagebuilder/assets/iconfont/sau fișiere răzlețe precum/media/com_admin/users.phpsau/media/regularlabs/users.php. Un backdoor frecvent se identifică prin textul “PHP File manager” în interiorul fișierului.
Dacă găsiți oricare dintre acestea, tratați site-ul ca fiind compromis: eliminați conturile și fișierele neautorizate, schimbați toate credențialele (administrarea Joomla, baza de date, FTP/SSH, panoul de găzduire), forțați toți utilizatorii să se autentifice din nou și luați în considerare restaurarea dintr-o copie de rezervă cunoscută ca fiind curată, făcută înainte de intruziune. Dacă organizația dumneavoastră are o echipă de securitate IT sau un CERT național, implicați-i.
Vreau să fiu clar: nu am verificat site-ul dumneavoastră pentru niciunul dintre acești indicatori și nu știu dacă site-ul dumneavoastră a fost afectat. Această listă este aici ca să puteți verifica dumneavoastră.
Nu am un webmaster / m-am blocat
Dacă nu sunteți persoana care întreține site-ul, vă rog să transmiteți această pagină celui care o face (dezvoltatorul dumneavoastră web, agenția sau furnizorul de găzduire). Vor recunoaște rapid pașii de mai sus.
Dacă întrețineți site-ul dumneavoastră și v-ați blocat, vă ajut cu plăcere să vă orientați în direcția corectă, fără niciun cost. Contactați-mă folosind datele de contact de mai jos.
Contact
Evan Harris, cercetător în securitate
- E-mail: security@mail.mcpsec.dev
- X: @Evan__Harris
- GitHub: eharris128
- LinkedIn: Evan Harris
Iau legătura în privința unor probleme ca aceasta pur și simplu pentru a ajuta operatorii să-și securizeze site-urile. Dacă preferați să nu mai fiți contactat, doar spuneți-mi și voi respecta acest lucru.
Referințe
Buletine oficiale și urmărire
- Înregistrare NVD (CVE-2026-48908)
- GitHub Advisory Database (GHSA-8fwr-8fxr-8v2p)
- Catalogul CISA de vulnerabilități exploatate cunoscute
- Alertă CISA (7 iulie 2026)
Producător (JoomShaper)
Relatări și analiză