Если Вы получили от меня письмо со ссылкой на эту страницу, то потому, что Ваш сайт, по всей видимости, использует уязвимую версию SP Page Builder (расширение com_sppagebuilder от JoomShaper), конструктора страниц для системы управления контентом Joomla. На этой странице объясняется, почему это важно и как это исправить.

Данное уведомление касается уязвимости CVE-2026-48908, критической (CVSS 10.0), активно эксплуатируемой уязвимости, которая допускает неаутентифицированное удалённое выполнение кода через функцию загрузки пользовательских значков в расширении. Она затрагивает версии SP Page Builder с 4.0.0 по 6.6.1 и устранена в версии 6.6.2. (Затронутая функция загрузки пользовательских значков появилась в SP Page Builder 4.0, поэтому линейки 1.x, 2.x и 3.x (любой выпуск до 4.0) её не содержат и этой проблемой не затронуты.) Если Вы используете затронутую версию, обновитесь до SP Page Builder 6.6.2 или новее как можно скорее. Поскольку это эксплуатировалось как уязвимость нулевого дня, Вам также следует проверить свой сайт на признаки компрометации (см. Если Вы использовали затронутую версию ниже).

Это уязвимость расширения, а не ядра Joomla. Она затрагивает сайты на Joomla 3, 4, 5 и 6 одинаково: полностью актуальное ядро Joomla не защищает Вас, если само расширение SP Page Builder устарело.

Является ли это сообщение подлинным?

Да. Это добросовестное уведомление в рамках ответственного раскрытия информации от независимого исследователя безопасности. Я не прошу у Вас денег, паролей или доступа к Вашему сайту и не пытался проникнуть в него, что-либо загрузить или что-либо эксплуатировать.

Всё, что я сделал, это просмотрел публично доступные файлы, которые Ваш сайт предоставляет каждому посетителю (точно так же, как публична Ваша главная страница), и отметил номер версии, который расширение SP Page Builder публикует в этих файлах. Уязвимой функции загрузки я специально не касался. Ничто в этой проверке не затрагивает Ваши данные, Вашу административную панель или какую-либо частную часть Вашего сайта.

Если Вы хотите убедиться в том, кто я, ознакомьтесь с контактными данными внизу этой страницы и на странице Обо мне.

Почему это важно

SP Page Builder представляет собой очень широко используемый конструктор страниц с перетаскиванием элементов для Joomla. В затронутых версиях функция, предназначенная для того, чтобы позволить администраторам загружать собственный набор значков, может быть достигнута без входа в систему и без какого-либо токена безопасности, и она не проверяет надлежащим образом, какого рода файл загружается. Это сочетание позволяет злоумышленнику загрузить программу по своему выбору и запустить её на Вашем сервере: полное удалённое выполнение кода.

Это не теоретический риск. Уязвимость получила оценку 10,0 из 10, была эксплуатирована в реальных условиях как уязвимость нулевого дня и была добавлена в каталог Known Exploited Vulnerabilities Агентства кибербезопасности и защиты инфраструктуры США (CISA) 7 июля 2026 года, с федеральным сроком устранения к 10 июля 2026 года. Реальные атаки с использованием этой уязвимости устанавливали скрытые учётные записи администраторов и веб-бэкдоры для постоянного доступа.

Если в моём письме упоминалась эта проблема, это означает, что версия, о которой сообщает Ваш сайт, попадает в затронутый диапазон. Я не проверял, уязвим ли Ваш конкретный сайт или уже скомпрометирован, лишь то, что он сообщает о затронутой версии.

Хорошая новость: обновление до исправленной версии закрывает брешь, а само обновление несложное.

Как проверить свою версию

Вам не обязательно верить мне на слово относительно того, какую версию Вы используете.

Из публичного манифеста (вход в систему не требуется): откройте в браузере yourdomain.com/administrator/components/com_sppagebuilder/sppagebuilder.xml. Строка <version> содержит версию, о которой сообщает Ваша установка SP Page Builder, и это тот же публичный файл, который прочитал я.

Из административной панели (если у Вас есть доступ):

  1. Войдите в администрирование Joomla (обычно по адресу yourdomain.com/administrator).
  2. Перейдите в System затем Manage затем Extensions (или Extensions затем Manage, в зависимости от Вашей версии Joomla).
  3. Найдите SP Page Builder и запишите установленную версию.

Если версия находится в диапазоне от 4.0.0 до 6.6.1, Вы используете затронутую версию и Вам следует обновиться. Версии 6.6.2 и новее исправлены, а версии до 4.0.0 не имеют затронутой функции (хотя они с истёкшим сроком поддержки и их стоит обновить по другим причинам).

Как обновиться

Самый безопасный путь: обновление через саму Joomla, предварительно создав резервную копию:

  1. Создайте резервную копию Вашего сайта (файлы и база данных) перед внесением изменений. Большинство хостинг-провайдеров предлагают резервное копирование в один клик, или используйте расширение для резервного копирования Joomla.
  2. В администрировании Joomla откройте Extensions затем Manage затем Update и нажмите Find Updates. Если обновление SP Page Builder указано в списке, установите его отсюда.
  3. Если там не появляется обновление, загрузите последний выпуск напрямую от производителя JoomShaper по адресу https://www.joomshaper.com/page-builder и установите его через Extensions затем Install.
  4. После обновления подтвердите новый номер версии (6.6.2 или новее), следуя приведённым выше шагам, и проверьте, что Ваш сайт загружается и редактируется нормально.

Раз уж Вы этим занялись, стоит убедиться, что сама Joomla и Ваши прочие расширения актуальны, поскольку тот же принцип применим ко всем из них.

Если Вы использовали затронутую версию

Поскольку эта уязвимость эксплуатировалась до того, как стало доступно исправление, сайт, на котором работала затронутая версия, не должен полагать, что простого обновления достаточно. Вам также следует проверить, не был ли уже совершён взлом сайта. Публично задокументированные атаки с использованием этой уязвимости оставляли следующие следы, которые Вы (или Ваш веб-мастер) можете поискать на своём собственном сайте:

  • Посторонние учётные записи администраторов. Злоумышленники создавали скрытые учётные записи Super User, часто с адресами электронной почты, оканчивающимися на @secure.local, и именами пользователей вроде webeditor, contentmgr, sysadmin, webmaster, portaladmin, siteeditor, webmanager или cmsadmin (нередко с двумя цифрами в конце, например webeditor48). Просмотрите свой список пользователей в Users затем Manage и удалите всех, кого не узнаёте.
  • Файлы-бэкдоры. Неожиданные PHP-файлы в каталоге /media/com_sppagebuilder/assets/iconfont/ или посторонние файлы вроде /media/com_admin/users.php или /media/regularlabs/users.php. Распространённый бэкдор обозначает себя текстом “PHP File manager” внутри файла.

Если Вы обнаружите что-либо из этого, считайте сайт скомпрометированным: удалите посторонние учётные записи и файлы, смените все учётные данные (администрирование Joomla, база данных, FTP/SSH, панель хостинга), принудите всех пользователей заново войти в систему и рассмотрите восстановление из заведомо чистой резервной копии, сделанной до вторжения. Если у Вашей организации есть команда по IT-безопасности или национальный CERT, привлеките их.

Хочу прояснить: я не проверял Ваш сайт ни на один из этих индикаторов, и я не знаю, был ли Ваш сайт затронут. Этот список приведён здесь, чтобы Вы могли проверить сами.

У меня нет веб-мастера / я застрял

Если Вы не тот человек, который обслуживает сайт, пожалуйста, перешлите эту страницу тому, кто это делает (Вашему веб-разработчику, агентству или хостинг-провайдеру). Они быстро узнают приведённые выше шаги.

Если Вы обслуживаете сайт самостоятельно и застряли, я с радостью бесплатно помогу Вам найти верное направление. Свяжитесь со мной, используя контактные данные ниже.

Контакты

Evan Harris, исследователь безопасности

Я обращаюсь по подобным вопросам исключительно для того, чтобы помочь операторам защитить их сайты. Если Вы предпочитаете, чтобы с Вами больше не связывались, просто сообщите мне об этом, и я это уважу.

Источники

Официальные уведомления и отслеживание

Производитель (JoomShaper)

Освещение и анализ