Повідомлення про безпеку SP Page Builder
Якщо ви отримали від мене листа з посиланням на цю сторінку, то тому, що ваш сайт,
судячи з усього, використовує вразливу версію SP Page Builder (розширення
com_sppagebuilder від JoomShaper), конструктора сторінок для системи керування контентом
Joomla. На цій сторінці пояснюється, чому це важливо і як це виправити.
Це повідомлення стосується вразливості CVE-2026-48908, критичної (CVSS 10.0), активно експлуатованої вразливості, яка допускає неавтентифіковане віддалене виконання коду через функцію завантаження користувацьких значків у розширенні. Вона зачіпає версії SP Page Builder з 4.0.0 по 6.6.1 і усунена у версії 6.6.2. (Уражена функція завантаження користувацьких значків з’явилася в SP Page Builder 4.0, тому лінійки 1.x, 2.x і 3.x (будь-який випуск до 4.0) її не містять і цією проблемою не зачіпаються.) Якщо ви використовуєте уражену версію, оновіться до SP Page Builder 6.6.2 або новішої якнайшвидше. Оскільки це експлуатувалося як вразливість нульового дня, вам також слід перевірити свій сайт на ознаки компрометації (див. Якщо ви використовували уражену версію нижче).
Це вразливість розширення, а не ядра Joomla. Вона зачіпає сайти на Joomla 3, 4, 5 і 6 однаково: повністю актуальне ядро Joomla не захищає вас, якщо саме розширення SP Page Builder застаріло.
Чи є це повідомлення справжнім?
Так. Це добросовісне повідомлення в рамках відповідального розкриття інформації від незалежного дослідника безпеки. Я не прошу у вас грошей, паролів чи доступу до вашого сайту і не намагався проникнути до нього, щось завантажити чи щось експлуатувати.
Усе, що я зробив: переглянув публічно доступні файли, які ваш сайт надає кожному відвідувачу (так само, як публічна ваша головна сторінка), і зазначив номер версії, який розширення SP Page Builder публікує в цих файлах. Уразливої функції завантаження я спеціально не торкався. Ніщо в цій перевірці не зачіпає ваші дані, вашу адміністративну панель чи будь-яку приватну частину вашого сайту.
Якщо ви хочете переконатися в тому, хто я, ознайомтеся з контактними даними внизу цієї сторінки та на сторінці Про мене.
Чому це важливо
SP Page Builder є дуже широко використовуваним конструктором сторінок із перетягуванням елементів для Joomla. В уражених версіях функція, призначена для того, щоб дозволити адміністраторам завантажувати власний набір значків, може бути досягнута без входу в систему і без будь-якого токена безпеки, і вона не перевіряє належним чином, якого роду файл завантажується. Це поєднання дозволяє зловмиснику завантажити програму на свій вибір і запустити її на вашому сервері: повне віддалене виконання коду.
Це не теоретичний ризик. Вразливість отримала оцінку 10,0 з 10, була експлуатована в реальних умовах як вразливість нульового дня і була додана до каталогу Known Exploited Vulnerabilities Агентства кібербезпеки та захисту інфраструктури США (CISA) 7 липня 2026 року, з федеральним терміном усунення до 10 липня 2026 року. Реальні атаки з використанням цієї вразливості встановлювали приховані облікові записи адміністраторів та веббекдори для постійного доступу.
Якщо в моєму листі згадувалася ця проблема, це означає, що версія, про яку повідомляє ваш сайт, потрапляє в уражений діапазон. Я не перевіряв, чи вразливий ваш конкретний сайт чи вже скомпрометований, лише те, що він повідомляє про уражену версію.
Хороша новина: оновлення до виправленої версії закриває пролом, а саме оновлення нескладне.
Як перевірити свою версію
Вам не обов’язково вірити мені на слово щодо того, яку версію ви використовуєте.
З публічного маніфесту (вхід у систему не потрібен): відкрийте у браузері
yourdomain.com/administrator/components/com_sppagebuilder/sppagebuilder.xml. Рядок
<version> містить версію, про яку повідомляє ваша установка SP Page Builder, і це той самий
публічний файл, який прочитав я.
З адміністративної панелі (якщо у вас є доступ):
- Увійдіть до адміністрування Joomla (зазвичай за адресою
yourdomain.com/administrator). - Перейдіть до System потім Manage потім Extensions (або Extensions потім Manage, залежно від вашої версії Joomla).
- Знайдіть SP Page Builder і запишіть встановлену версію.
Якщо версія перебуває в діапазоні від 4.0.0 до 6.6.1, ви використовуєте уражену версію і вам слід оновитися. Версії 6.6.2 і новіші виправлені, а версії до 4.0.0 не мають ураженої функції (хоча вони із завершеним життєвим циклом і їх варто оновити з інших причин).
Як оновитися
Найбезпечніший шлях: оновлення через саму Joomla, попередньо створивши резервну копію:
- Створіть резервну копію вашого сайту (файли та база даних) перед внесенням змін. Більшість хостинг-провайдерів пропонують резервне копіювання в один клік, або скористайтеся розширенням для резервного копіювання Joomla.
- В адмініструванні Joomla відкрийте Extensions потім Manage потім Update і натисніть Find Updates. Якщо оновлення SP Page Builder вказано у списку, встановіть його звідси.
- Якщо там не з’являється оновлення, завантажте останній випуск безпосередньо від виробника JoomShaper за адресою https://www.joomshaper.com/page-builder і встановіть його через Extensions потім Install.
- Після оновлення підтвердьте новий номер версії (6.6.2 або новіша), дотримуючись наведених вище кроків, і перевірте, що ваш сайт завантажується та редагується нормально.
Раз уже ви цим зайнялися, варто переконатися, що сама Joomla та ваші інші розширення актуальні, оскільки той самий принцип застосовується до всіх із них.
Якщо ви використовували уражену версію
Оскільки ця вразливість експлуатувалася до того, як стало доступне виправлення, сайт, на якому працювала уражена версія, не повинен вважати, що простого оновлення достатньо. Вам також слід перевірити, чи не було вже здійснено злам сайту. Публічно задокументовані атаки з використанням цієї вразливості залишали такі сліди, які ви (або ваш вебмайстер) можете пошукати на своєму власному сайті:
- Сторонні облікові записи адміністраторів. Зловмисники створювали приховані облікові
записи Super User, часто з адресами електронної пошти, що закінчуються на
@secure.local, та іменами користувачів на кшталтwebeditor,contentmgr,sysadmin,webmaster,portaladmin,siteeditor,webmanagerабоcmsadmin(нерідко з двома цифрами в кінці, наприкладwebeditor48). Перегляньте свій список користувачів у Users потім Manage і видаліть усіх, кого не впізнаєте. - Файли-бекдори. Несподівані PHP-файли в каталозі
/media/com_sppagebuilder/assets/iconfont/або сторонні файли на кшталт/media/com_admin/users.phpчи/media/regularlabs/users.php. Поширений бекдор позначає себе текстом “PHP File manager” усередині файлу.
Якщо ви виявите щось із цього, вважайте сайт скомпрометованим: видаліть сторонні облікові записи та файли, змініть усі облікові дані (адміністрування Joomla, база даних, FTP/SSH, панель хостингу), примусьте всіх користувачів заново увійти в систему і розгляньте відновлення із завідомо чистої резервної копії, зробленої до вторгнення. Якщо у вашої організації є команда з IT-безпеки або національний CERT, залучіть їх.
Хочу прояснити: я не перевіряв ваш сайт на жоден із цих індикаторів, і я не знаю, чи був ваш сайт уражений. Цей список наведено тут, щоб ви могли перевірити самі.
У мене немає вебмайстра / я застряг
Якщо ви не та людина, яка обслуговує сайт, будь ласка, перешліть цю сторінку тому, хто це робить (вашому веброзробнику, агенції чи хостинг-провайдеру). Вони швидко впізнають наведені вище кроки.
Якщо ви обслуговуєте сайт самостійно і застрягли, я з радістю безкоштовно допоможу вам знайти правильний напрямок. Зв’яжіться зі мною, використовуючи контактні дані нижче.
Контакти
Evan Harris, дослідник безпеки
- Електронна пошта: security@mail.mcpsec.dev
- X: @Evan__Harris
- GitHub: eharris128
- LinkedIn: Evan Harris
Я звертаюся з подібних питань виключно для того, щоб допомогти операторам захистити їхні сайти. Якщо ви віддаєте перевагу тому, щоб з вами більше не зв’язувалися, просто повідомте мені про це, і я поважатиму це.
Джерела
Офіційні повідомлення та відстеження
- Запис у NVD (CVE-2026-48908)
- GitHub Advisory Database (GHSA-8fwr-8fxr-8v2p)
- Каталог відомих експлуатованих вразливостей CISA
- Оповіщення CISA (7 липня 2026)
Виробник (JoomShaper)
Висвітлення та аналіз