Повідомлення про безпеку Page Builder CK
Якщо ви отримали від мене листа з посиланням на цю сторінку, то тому, що ваш сайт,
судячи з усього, використовує вразливу версію Page Builder CK (розширення
com_pagebuilderck від Joomlack), конструктора сторінок для системи керування контентом
Joomla. На цій сторінці пояснюється, чому це важливо і як це виправити.
Це повідомлення стосується вразливості CVE-2026-56290, критичної (CVSS 10.0), активно експлуатованої вразливості, яка допускає неавтентифіковане віддалене виконання коду через функцію завантаження в клієнтському медіабраузері розширення. Виправлення вийшло 27 червня 2026 року, і те, яка версія є «виправленою», залежить від вашої лінійки Joomla:
| Якщо ваш сайт працює на… | Page Builder CK виправлено у… | Уражені (потрібне оновлення) |
|---|---|---|
| Joomla 3 | 3.1.1 | 3.1.0 і раніші |
| Joomla 4 | 3.4.10 | 3.4.9 і раніші |
| Joomla 5 або 6 | 3.6.0 | 3.5.10 і раніші |
Якщо ви використовуєте уражену версію, оновіться до виправленого випуску для вашої лінійки Joomla якнайшвидше. Оскільки це експлуатувалося як вразливість нульового дня, вам також слід перевірити свій сайт на ознаки компрометації (див. Якщо ви використовували уражену версію нижче).
Це вразливість розширення, а не ядра Joomla. Повністю актуальне ядро Joomla не захищає вас, якщо саме розширення Page Builder CK застаріло.
Примітка щодо номерів версій. Page Builder CK використовує однакові номери версій у різних випусках Joomla, тому сам лише номер не каже вам, чи ви в безпеці: це залежить від вашої версії Joomla. Наприклад, 3.1.2 є виправленою збіркою на Joomla 3, але сайту на Joomla 5 потрібна 3.6.0 або новіша. Таблиця вище прив’язана до вашої лінійки Joomla саме з цієї причини.
Чи є це повідомлення справжнім?
Так. Це добросовісне повідомлення в рамках відповідального розкриття інформації від незалежного дослідника безпеки. Я не прошу у вас грошей, паролів чи доступу до вашого сайту і не намагався проникнути до нього, щось завантажити чи щось експлуатувати.
Усе, що я зробив: переглянув публічно доступні файли, які ваш сайт надає кожному відвідувачу (так само, як публічна ваша головна сторінка), і зазначив номер версії, який розширення Page Builder CK публікує в цих файлах. Уразливої функції завантаження я спеціально не торкався. Ніщо в цій перевірці не зачіпає ваші дані, вашу адміністративну панель чи будь-яку приватну частину вашого сайту.
Якщо ви хочете переконатися в тому, хто я, ознайомтеся з контактними даними внизу цієї сторінки та на сторінці Про мене.
Чому це важливо
Page Builder CK є широко використовуваним конструктором сторінок із перетягуванням елементів для Joomla. В уражених версіях клієнтський медіабраузер розширення надає дію завантаження, яку можна досягти без входу в систему і без дійсної перевірки безпеки: в обробнику завантаження була відсутня перевірка авторизації, яка мала б обмежувати його редакторами. Це дозволяє зловмиснику завантажити програму на свій вибір і запустити її на вашому сервері: повне віддалене виконання коду.
Це не теоретичний ризик. Вразливість отримала оцінку 10,0 з 10, була експлуатована в реальних умовах як вразливість нульового дня (зі зловмисниками, які встановлювали веббекдори для постійного доступу), і була додана до каталогу Known Exploited Vulnerabilities Агентства кібербезпеки та захисту інфраструктури США (CISA) 7 липня 2026 року.
Якщо в моєму листі згадувалася ця проблема, це означає, що версія, про яку повідомляє ваш сайт, потрапляє в уражений діапазон для вашої лінійки Joomla. Я не перевіряв, чи вразливий ваш конкретний сайт чи вже скомпрометований, лише те, що він повідомляє про уражену версію.
Хороша новина: оновлення до виправленої версії закриває пролом, а саме оновлення нескладне.
Як перевірити свою версію
Вам не обов’язково вірити мені на слово щодо того, яку версію ви використовуєте.
З публічного маніфесту (вхід у систему не потрібен): відкрийте у браузері
yourdomain.com/administrator/components/com_pagebuilderck/pagebuilderck.xml. Рядок
<version> містить версію, про яку повідомляє ваша установка Page Builder CK, і це той
самий публічний файл, який прочитав я.
З адміністративної панелі (якщо у вас є доступ):
- Увійдіть до адміністрування Joomla (зазвичай за адресою
yourdomain.com/administrator). - Перейдіть до System потім Manage потім Extensions (або Extensions потім Manage, залежно від вашої версії Joomla).
- Знайдіть Page Builder CK і запишіть встановлену версію.
Порівняйте цей номер із таблицею вгорі цієї сторінки для вашої лінійки Joomla. Якщо ви на рівні або вище виправленої версії для вашої лінійки (3.1.1 на Joomla 3, 3.4.10 на Joomla 4, 3.6.0 на Joomla 5/6), ви захищені; якщо ви нижче, вам слід оновитися.
Як оновитися
Найбезпечніший шлях: оновлення через саму Joomla, попередньо створивши резервну копію:
- Створіть резервну копію вашого сайту (файли та база даних) перед внесенням змін. Більшість хостинг-провайдерів пропонують резервне копіювання в один клік, або скористайтеся розширенням для резервного копіювання Joomla.
- В адмініструванні Joomla відкрийте Extensions потім Manage потім Update і натисніть Find Updates. Якщо оновлення Page Builder CK вказано у списку, встановіть його звідси: Joomla автоматично запропонує правильну збірку для вашої лінійки Joomla.
- Якщо там не з’являється оновлення, завантажте останній випуск безпосередньо від виробника Joomlack за адресою https://www.joomlack.fr/en/joomla-extensions/page-builder-ck і встановіть його через Extensions потім Install.
- Після оновлення підтвердьте новий номер версії (виправлений випуск для вашої лінійки Joomla), дотримуючись наведених вище кроків, і перевірте, що ваш сайт завантажується та редагується нормально.
Раз уже ви цим зайнялися, варто переконатися, що сама Joomla та ваші інші розширення актуальні, оскільки той самий принцип застосовується до всіх із них.
Якщо ви використовували уражену версію
Оскільки ця вразливість експлуатувалася до того, як стало доступне виправлення, сайт, на якому працювала уражена версія, не повинен вважати, що простого оновлення достатньо. Оновлення закриває пролом, але воно не видаляє те, що зловмисник міг уже завантажити. Вам (або вашому вебмайстру) також слід перевірити, чи не було здійснено злам сайту:
- Несподівані файли на сервері. Атака з неавтентифікованим завантаженням залишає по
собі файли, розміщені зловмисником, найчастіше
.php-файли (веб-оболонки) у доступних для запису каталогах завантаження та медіа, наприклад під/images/,/media/чи в медіакаталозі Page Builder CK (/media/com_pagebuilderck/). Шукайте файли скриптів із випадковими на вигляд іменами або файли, дата зміни яких збігається з тим часом, коли сайт міг стати мішенню, і видаліть усі, походження яких ви не можете пояснити. - Сторонні облікові записи адміністраторів. Атаки із завантаженням файлів часто використовують для створення прихованих облікових записів Super User для постійного доступу. Перегляньте свій список користувачів у Users потім Manage і видаліть усіх, кого не впізнаєте.
- Несподівані зміни. Змінені файли ядра, нові заплановані завдання чи незнайомі перевизначення шаблонів можуть вказувати на бекдор, який переживає оновлення розширення.
Якщо ви виявите щось із цього, вважайте сайт скомпрометованим: видаліть сторонні файли та облікові записи, змініть усі облікові дані (адміністрування Joomla, база даних, FTP/SSH, панель хостингу), примусьте всіх користувачів заново увійти в систему і розгляньте відновлення із завідомо чистої резервної копії, зробленої до вторгнення. Якщо у вашої організації є команда з IT-безпеки або національний CERT, залучіть їх.
Хочу прояснити: я не перевіряв ваш сайт на жоден із цих індикаторів, і я не знаю, чи був ваш сайт уражений. Цей список наведено тут, щоб ви могли перевірити самі.
У мене немає вебмайстра / я застряг
Якщо ви не та людина, яка обслуговує сайт, будь ласка, перешліть цю сторінку тому, хто це робить (вашому веброзробнику, агенції чи хостинг-провайдеру). Вони швидко впізнають наведені вище кроки.
Якщо ви обслуговуєте сайт самостійно і застрягли, я з радістю безкоштовно допоможу вам знайти правильний напрямок. Зв’яжіться зі мною, використовуючи контактні дані нижче.
Контакти
Evan Harris, дослідник безпеки
- Електронна пошта: security@mail.mcpsec.dev
- X: @Evan__Harris
- GitHub: eharris128
- LinkedIn: Evan Harris
Я звертаюся з подібних питань виключно для того, щоб допомогти операторам захистити їхні сайти. Якщо ви віддаєте перевагу тому, щоб з вами більше не зв’язувалися, просто повідомте мені про це, і я поважатиму це.
Джерела
Офіційні повідомлення та відстеження
- Запис у NVD (CVE-2026-56290)
- Каталог відомих експлуатованих вразливостей CISA
- Оповіщення CISA (7 липня 2026)
Виробник (Joomlack)