Если Вы получили от меня письмо со ссылкой на эту страницу, то потому, что Ваш сайт, по всей видимости, использует уязвимую версию Page Builder CK (расширение com_pagebuilderck от Joomlack), конструктора страниц для системы управления контентом Joomla. На этой странице объясняется, почему это важно и как это исправить.

Данное уведомление касается уязвимости CVE-2026-56290, критической (CVSS 10.0), активно эксплуатируемой уязвимости, которая допускает неаутентифицированное удалённое выполнение кода через функцию загрузки в клиентском медиабраузере расширения. Исправление вышло 27 июня 2026 года, и то, какая версия считается “исправленной”, зависит от Вашей линейки Joomla:

Если Ваш сайт работает на… Page Builder CK исправлен в… Затронуто (требуется обновление)
Joomla 3 3.1.1 3.1.0 и ранее
Joomla 4 3.4.10 3.4.9 и ранее
Joomla 5 или 6 3.6.0 3.5.10 и ранее

Если Вы используете затронутую версию, обновитесь до исправленного выпуска для Вашей линейки Joomla как можно скорее. Поскольку это эксплуатировалось как уязвимость нулевого дня, Вам также следует проверить свой сайт на признаки компрометации (см. Если Вы использовали затронутую версию ниже).

Это уязвимость расширения, а не ядра Joomla. Полностью актуальное ядро Joomla не защищает Вас, если само расширение Page Builder CK устарело.

Примечание о номерах версий. Page Builder CK использует одни и те же номера версий в разных выпусках Joomla, поэтому один только номер не говорит Вам, в безопасности ли Вы: это зависит от Вашей версии Joomla. Например, 3.1.2 является исправленной сборкой на Joomla 3, но сайту на Joomla 5 нужна версия 3.6.0 или новее. Приведённая выше таблица привязана к Вашей линейке Joomla именно по этой причине.

Является ли это сообщение подлинным?

Да. Это добросовестное уведомление в рамках ответственного раскрытия информации от независимого исследователя безопасности. Я не прошу у Вас денег, паролей или доступа к Вашему сайту и не пытался проникнуть в него, что-либо загрузить или что-либо эксплуатировать.

Всё, что я сделал, это просмотрел публично доступные файлы, которые Ваш сайт предоставляет каждому посетителю (точно так же, как публична Ваша главная страница), и отметил номер версии, который расширение Page Builder CK публикует в этих файлах. Уязвимой функции загрузки я специально не касался. Ничто в этой проверке не затрагивает Ваши данные, Вашу административную панель или какую-либо частную часть Вашего сайта.

Если Вы хотите убедиться в том, кто я, ознакомьтесь с контактными данными внизу этой страницы и на странице Обо мне.

Почему это важно

Page Builder CK представляет собой широко используемый конструктор страниц с перетаскиванием элементов для Joomla. В затронутых версиях клиентский медиабраузер расширения предоставляет действие загрузки, которое может быть достигнуто без входа в систему и без действительной проверки безопасности: в обработчике загрузки отсутствовала проверка авторизации, которая должна ограничивать его редакторами. Это позволяет злоумышленнику загрузить программу по своему выбору и запустить её на Вашем сервере: полное удалённое выполнение кода.

Это не теоретический риск. Уязвимость получила оценку 10,0 из 10, была эксплуатирована в реальных условиях как уязвимость нулевого дня (злоумышленники устанавливали веб-бэкдоры для постоянного доступа) и была добавлена в каталог Known Exploited Vulnerabilities Агентства кибербезопасности и защиты инфраструктуры США (CISA) 7 июля 2026 года.

Если в моём письме упоминалась эта проблема, это означает, что версия, о которой сообщает Ваш сайт, попадает в затронутый диапазон для Вашей линейки Joomla. Я не проверял, уязвим ли Ваш конкретный сайт или уже скомпрометирован, лишь то, что он сообщает о затронутой версии.

Хорошая новость: обновление до исправленной версии закрывает брешь, а само обновление несложное.

Как проверить свою версию

Вам не обязательно верить мне на слово относительно того, какую версию Вы используете.

Из публичного манифеста (вход в систему не требуется): откройте в браузере yourdomain.com/administrator/components/com_pagebuilderck/pagebuilderck.xml. Строка <version> содержит версию, о которой сообщает Ваша установка Page Builder CK, и это тот же публичный файл, который прочитал я.

Из административной панели (если у Вас есть доступ):

  1. Войдите в администрирование Joomla (обычно по адресу yourdomain.com/administrator).
  2. Перейдите в System затем Manage затем Extensions (или Extensions затем Manage, в зависимости от Вашей версии Joomla).
  3. Найдите Page Builder CK и запишите установленную версию.

Сравните этот номер с таблицей вверху этой страницы для Вашей линейки Joomla. Если Вы на исправленной версии для Вашей линейки или выше (3.1.1 на Joomla 3, 3.4.10 на Joomla 4, 3.6.0 на Joomla 5/6), Вы защищены; если ниже, Вам следует обновиться.

Как обновиться

Самый безопасный путь: обновление через саму Joomla, предварительно создав резервную копию:

  1. Создайте резервную копию Вашего сайта (файлы и база данных) перед внесением изменений. Большинство хостинг-провайдеров предлагают резервное копирование в один клик, или используйте расширение для резервного копирования Joomla.
  2. В администрировании Joomla откройте Extensions затем Manage затем Update и нажмите Find Updates. Если обновление Page Builder CK указано в списке, установите его отсюда: Joomla автоматически предложит правильную сборку для Вашей линейки Joomla.
  3. Если там не появляется обновление, загрузите последний выпуск напрямую от производителя Joomlack по адресу https://www.joomlack.fr/en/joomla-extensions/page-builder-ck и установите его через Extensions затем Install.
  4. После обновления подтвердите новый номер версии (исправленный выпуск для Вашей линейки Joomla), следуя приведённым выше шагам, и проверьте, что Ваш сайт загружается и редактируется нормально.

Раз уж Вы этим занялись, стоит убедиться, что сама Joomla и Ваши прочие расширения актуальны, поскольку тот же принцип применим ко всем из них.

Если Вы использовали затронутую версию

Поскольку эта уязвимость эксплуатировалась до того, как стало доступно исправление, сайт, на котором работала затронутая версия, не должен полагать, что простого обновления достаточно. Обновление закрывает брешь, но оно не удаляет то, что злоумышленник мог уже загрузить. Вам (или Вашему веб-мастеру) также следует проверить, не был ли взломан сайт:

  • Неожиданные файлы на сервере. Атака с неаутентифицированной загрузкой оставляет после себя файлы, размещённые злоумышленником, чаще всего файлы .php (веб-шеллы) в доступных для записи каталогах загрузки и медиа, например в /images/, /media/ или в медиакаталоге Page Builder CK (/media/com_pagebuilderck/). Ищите файлы скриптов со случайными на вид именами или файлы, дата изменения которых совпадает с моментом, когда сайт мог быть атакован, и удалите все, происхождение которых Вы не можете объяснить.
  • Посторонние учётные записи администраторов. Атаки с загрузкой файлов часто используются для создания скрытых учётных записей Super User для постоянного доступа. Просмотрите свой список пользователей в Users затем Manage и удалите всех, кого не узнаёте.
  • Неожиданные изменения. Изменённые файлы ядра, новые запланированные задачи или незнакомые переопределения шаблонов могут указывать на бэкдор, переживающий обновление расширения.

Если Вы обнаружите что-либо из этого, считайте сайт скомпрометированным: удалите посторонние файлы и учётные записи, смените все учётные данные (администрирование Joomla, база данных, FTP/SSH, панель хостинга), принудите всех пользователей заново войти в систему и рассмотрите восстановление из заведомо чистой резервной копии, сделанной до вторжения. Если у Вашей организации есть команда по IT-безопасности или национальный CERT, привлеките их.

Хочу прояснить: я не проверял Ваш сайт ни на один из этих индикаторов, и я не знаю, был ли Ваш сайт затронут. Этот список приведён здесь, чтобы Вы могли проверить сами.

У меня нет веб-мастера / я застрял

Если Вы не тот человек, который обслуживает сайт, пожалуйста, перешлите эту страницу тому, кто это делает (Вашему веб-разработчику, агентству или хостинг-провайдеру). Они быстро узнают приведённые выше шаги.

Если Вы обслуживаете сайт самостоятельно и застряли, я с радостью бесплатно помогу Вам найти верное направление. Свяжитесь со мной, используя контактные данные ниже.

Контакты

Evan Harris, исследователь безопасности

Я обращаюсь по подобным вопросам исключительно для того, чтобы помочь операторам защитить их сайты. Если Вы предпочитаете, чтобы с Вами больше не связывались, просто сообщите мне об этом, и я это уважу.

Источники

Официальные уведомления и отслеживание

Производитель (Joomlack)