Page Builder CK 安全通知
如果您收到我发来的邮件,指引您访问本页面,那是因为您的网站似乎正在运行存在漏洞版本的
Page Builder CK(Joomlack 的 com_pagebuilderck),这是 Joomla 内容管理系统的
一款页面构建扩展。本页面将说明这为何重要以及如何修复。
本通知涉及 CVE-2026-56290,这是一个严重(CVSS 10.0)、正被积极利用的缺陷, 它通过该扩展前端媒体浏览器的上传功能允许 未经身份验证的远程代码执行。修复已于 2026 年 6 月 27 日 发布,而哪个版本算是“已修复”取决于您所在的 Joomla 系列:
| 如果您的站点运行… | Page Builder CK 已在此版本修复… | 受影响(需要升级) |
|---|---|---|
| Joomla 3 | 3.1.1 | 3.1.0 及更早 |
| Joomla 4 | 3.4.10 | 3.4.9 及更早 |
| Joomla 5 或 6 | 3.6.0 | 3.5.10 及更早 |
如果您正在运行受影响的版本,请尽快 针对您所在的 Joomla 系列升级到已修复的版本。 由于这是作为零日漏洞被利用的,您还应当 排查您的站点是否有遭到入侵的迹象 (见下方如果您曾使用受影响的版本)。
这是一个 扩展 缺陷,而不是 Joomla 核心的缺陷。如果 Page Builder CK 扩展本身过时, 那么即便是完全最新的 Joomla 核心也 无法 保护您。
关于版本号的说明。 Page Builder CK 在不同的 Joomla 发行版之间使用相同的版本号, 因此仅凭这个数字并不能告诉您是否安全,这取决于您的 Joomla 版本。例如,3.1.2 在 Joomla 3 上是一个 已修复 的构建,但运行 Joomla 5 的站点则需要 3.6.0 或更高版本。 上方的表格正是出于这个原因而按您所在的 Joomla 系列来区分的。
这条消息是否可信?
是的。这是一份来自独立安全研究人员的善意、负责任披露通知。我 不会 向您索要金钱、 密码或对您站点的访问权限,也 没有 试图入侵它、上传任何东西或利用任何漏洞。
我所做的一切,只是查看您的网站向每一位访问者提供的公开可见文件(就像您的主页是公开的一样), 并记录 Page Builder CK 扩展在这些文件中公布的版本号。我特意 没有 触碰那个存在漏洞的 上传功能。这项检查完全不涉及您的数据、您的后台管理区域,或您站点的任何私密部分。
如果您想核实我的身份,请查看本页底部的联系方式以及关于页面。
为什么这很重要
Page Builder CK 是 Joomla 中使用广泛的一款拖放式页面构建器。在受影响的版本中,该扩展的 前端媒体浏览器暴露了一个上传操作,它 无需登录、也无需有效的安全校验 即可被访问: 上传处理程序缺少了本应将其限制为仅供编辑者使用的授权检查。这使得攻击者能够上传自己选定的 程序并在您的服务器上运行它:完整的远程代码执行。
这并非理论上的风险。该缺陷被评为 满分 10 中的 10.0,曾 作为零日漏洞在真实环境中被利用 (攻击者植入了基于网页的后门以获得持久访问权限),并于 2026 年 7 月 7 日被列入美国网络安全和 基础设施安全局(CISA)的 已知被利用漏洞 目录。
如果我的邮件引用了这个问题,那意味着您站点报告的版本落在您所在 Joomla 系列的受影响范围之内。 我并没有测试您的具体站点是否可被利用或是否已被入侵,只是确认它报告了一个受影响的版本。
好消息:更新到已修复的版本可以堵上这个漏洞,而且更新过程很简单。
如何检查您的版本
您不必仅凭我的说法来判断自己运行的是哪个版本。
从公开清单查看(无需登录): 在浏览器中打开
yourdomain.com/administrator/components/com_pagebuilderck/pagebuilderck.xml。
<version> 这一行是您的 Page Builder CK 安装所报告的版本,而这正是我读取的那个公开文件。
从后台管理区域查看(如果您有访问权限):
- 登录您的 Joomla 后台(通常位于
yourdomain.com/administrator)。 - 前往 System 然后 Manage 然后 Extensions(或 Extensions 然后 Manage,取决于您的 Joomla 版本)。
- 搜索 Page Builder CK 并记下已安装的版本。
针对您所在的 Joomla 系列 将该数字与本页顶部的表格进行比较。如果您的版本达到或高于您所在 系列的已修复版本(Joomla 3 为 3.1.1,Joomla 4 为 3.4.10,Joomla 5/6 为 3.6.0),说明您 已经打了补丁;如果低于它,则应当升级。
如何升级
最安全的做法是通过 Joomla 自身进行更新,并事先做好备份:
- 在做出更改之前 备份您的站点(文件和数据库)。大多数主机服务商都提供一键备份, 或者使用 Joomla 备份扩展。
- 在 Joomla 后台,打开 Extensions 然后 Manage 然后 Update,并点击 Find Updates。如果列出了 Page Builder CK 更新,就从这里安装它,Joomla 会自动为您 所在的 Joomla 系列提供正确的构建。
- 如果那里没有出现更新,请直接从厂商 Joomlack 处下载最新版本,地址为 https://www.joomlack.fr/en/joomla-extensions/page-builder-ck, 并通过 Extensions 然后 Install 进行安装。
- 升级后,按照上述步骤确认新的版本号(您所在 Joomla 系列的已修复版本),并检查您的站点 是否能正常加载和编辑。
既然您已经在处理这些,不妨顺便确认 Joomla 本身 以及您的其他扩展是否都是最新的, 因为同样的原则适用于所有这些组件。
如果您曾使用受影响的版本
由于这个缺陷在修复可用 之前 就已被利用,曾运行受影响版本的站点不应认为仅仅更新就足够了。 更新会堵上这个漏洞,但它 不会 移除攻击者可能已经上传的任何东西。您(或您的网站管理员) 还应当检查站点是否已经被入侵:
- 服务器上出现意料之外的文件。 未经身份验证的上传攻击会留下攻击者放置的文件,最常见的是
可写的上传和媒体目录下的
.php文件(网页木马),例如/images/、/media/之下,或 Page Builder CK 的媒体目录(/media/com_pagebuilderck/)之中。请留意名称看似随机的 脚本文件,或修改日期与站点可能遭到攻击的时间点相吻合的文件,并移除任何您无法解释的文件。 - 流氓管理员账户。 文件上传攻击常被用来创建隐藏的 Super User 账户以获得持久访问权限。 请在 Users 然后 Manage 中查看您的用户列表,并移除任何您不认识的账户。
- 意料之外的改动。 被修改的核心文件、新增的计划任务,或陌生的模板覆盖,都可能表明存在 一个在扩展更新后仍然留存的后门。
如果您发现了其中任何一项,请将站点视为已被入侵:移除流氓文件和账户,更换所有凭据 (Joomla 后台、数据库、FTP/SSH、主机面板),强制所有用户重新登录,并考虑从入侵之前 所做的、已知良好的备份中恢复。如果您的组织有 IT 安全团队或国家级 CERT,请让他们参与进来。
我想说明清楚:我 没有 就上述任何指标检查过您的站点,也不知道您的站点是否受到影响。 此列表列在此处,是为了让您可以自行检查。
我没有网站管理员 / 我遇到了困难
如果您不是维护站点的人,请将本页面转发给负责维护的人(您的网页开发者、代理机构或主机服务商)。 他们会很快认出上述步骤。
如果您自己维护站点却遇到了困难,我很乐意免费帮您指明正确的方向。请使用下方的联系方式与我联系。
联系方式
Evan Harris,安全研究员
- 电子邮件:security@mail.mcpsec.dev
- X:@Evan__Harris
- GitHub:eharris128
- LinkedIn:Evan Harris
我就此类问题主动联系,纯粹是为了帮助运营者保护他们的站点。如果您希望不再被联系, 只需告诉我,我会予以尊重。
参考资料
官方通告与追踪
厂商(Joomlack)