如果您收到我发来的邮件,指引您访问本页面,那是因为您的网站似乎正在运行存在漏洞版本的 SP Page Builder(JoomShaper 的 com_sppagebuilder),这是 Joomla 内容管理系统的 一款页面构建扩展。本页面将说明这为何重要以及如何修复。

本通知涉及 CVE-2026-48908,这是一个严重(CVSS 10.0)、正被积极利用的缺陷, 它通过该扩展的自定义图标上传功能允许 未经身份验证的远程代码执行。它影响 SP Page Builder 4.0.0 至 6.6.1 版本,并已在 6.6.2 中修复。(受影响的自定义图标 上传功能是在 SP Page Builder 4.0 中引入的,因此 1.x、2.x 和 3.x 系列(4.0 之前的任何版本) 并不包含它,也不受此问题影响。)如果您正在运行受影响的版本,请尽快 升级到 SP Page Builder 6.6.2 或更高版本。由于这个缺陷曾作为零日漏洞被利用,您还应当 排查您的站点是否有遭到入侵的迹象(见下方如果您曾使用受影响的版本)。

这是一个 扩展 缺陷,而不是 Joomla 核心的缺陷。它同样影响 Joomla 3、4、5 和 6 上的站点: 如果 SP Page Builder 扩展本身过时,那么即便是完全最新的 Joomla 核心也 无法 保护您。

这条消息是否可信?

是的。这是一份来自独立安全研究人员的善意、负责任披露通知。我 不会 向您索要金钱、 密码或对您站点的访问权限,也 没有 试图入侵它、上传任何东西或利用任何漏洞。

我所做的一切,只是查看您的网站向每一位访问者提供的公开可见文件(就像您的主页是公开的一样), 并记录 SP Page Builder 扩展在这些文件中公布的版本号。我特意 没有 触碰那个存在漏洞的 上传功能。这项检查完全不涉及您的数据、您的后台管理区域,或您站点的任何私密部分。

如果您想核实我的身份,请查看本页底部的联系方式以及关于页面。

为什么这很重要

SP Page Builder 是 Joomla 中使用极为广泛的拖放式页面构建器。在受影响的版本中,一项本意是 让管理员上传自定义图标集的功能,无需登录、也无需任何安全令牌 即可被访问,而且它 没有 正确检查所上传文件的类型。这种组合使得攻击者能够上传自己选定的程序并在您的服务器上 运行它:完整的远程代码执行。

这并非理论上的风险。该缺陷被评为 满分 10.0,曾 作为零日漏洞在真实环境中被利用, 并于 2026 年 7 月 7 日被列入美国网络安全和基础设施安全局(CISA)的 已知被利用漏洞 目录, 联邦机构的修补截止日期为 2026 年 7 月 10 日。利用该缺陷的真实攻击已经植入了隐藏的管理员账户 和基于网页的后门,以获得持久访问权限。

如果我的邮件引用了这个问题,那意味着您站点报告的版本落在受影响的范围之内。我并没有测试 您的具体站点是否可被利用或是否已被入侵,只是确认它报告了一个受影响的版本。

好消息:更新到已修复的版本可以堵上这个漏洞,而且更新过程很简单。

如何检查您的版本

您不必仅凭我的说法来判断自己运行的是哪个版本。

从公开清单查看(无需登录): 在浏览器中打开 yourdomain.com/administrator/components/com_sppagebuilder/sppagebuilder.xml<version> 这一行是您的 SP Page Builder 安装所报告的版本,而这正是我读取的那个公开文件。

从后台管理区域查看(如果您有访问权限):

  1. 登录您的 Joomla 后台(通常位于 yourdomain.com/administrator)。
  2. 前往 System 然后 Manage 然后 Extensions(或 Extensions 然后 Manage,取决于您的 Joomla 版本)。
  3. 搜索 SP Page Builder 并记下已安装的版本。

如果版本 介于 4.0.0 和 6.6.1 之间,说明您使用的是受影响的版本,应当升级。 6.6.2 及更高版本 已修复,而 4.0.0 之前 的版本不含受影响的功能(不过它们已生命周期 终止,出于其他原因也值得升级)。

如何升级

最安全的做法是通过 Joomla 自身进行更新,并事先做好备份:

  1. 在做出更改之前 备份您的站点(文件和数据库)。大多数主机服务商都提供一键备份, 或者使用 Joomla 备份扩展。
  2. 在 Joomla 后台,打开 Extensions 然后 Manage 然后 Update,并点击 Find Updates。如果列出了 SP Page Builder 更新,就从这里安装它。
  3. 如果那里没有出现更新,请直接从厂商 JoomShaper 处下载最新版本,地址为 https://www.joomshaper.com/page-builder, 并通过 Extensions 然后 Install 进行安装。
  4. 升级后,按照上述步骤确认新的版本号(6.6.2 或更高),并检查您的站点是否能正常加载和编辑。

既然您已经在处理这些,不妨顺便确认 Joomla 本身 以及您的其他扩展是否都是最新的, 因为同样的原则适用于所有这些组件。

如果您曾使用受影响的版本

由于这个缺陷在修复可用 之前 就已被利用,曾运行受影响版本的站点不应认为仅仅更新就足够了。 您还应当检查站点是否已经被入侵。利用此漏洞的、公开记录的攻击留下了以下痕迹,您(或您的 网站管理员)可以在 您自己的 站点上查找:

  • 恶意的管理员账户。 攻击者创建了隐藏的 Super User 账户,其电子邮件地址常以 @secure.local 结尾,用户名诸如 webeditorcontentmgrsysadminwebmasterportaladminsiteeditorwebmanagercmsadmin(结尾常带两位数字, 例如 webeditor48)。请在 Users 然后 Manage 中查看您的用户列表, 并移除任何您不认识的账户。
  • 后门文件。 /media/com_sppagebuilder/assets/iconfont/ 目录下意外出现的 PHP 文件, 或诸如 /media/com_admin/users.php/media/regularlabs/users.php 之类的可疑文件。 一种常见的后门会在文件内部以文字 “PHP File manager” 标识自己。

如果您发现了其中任何一项,请将站点视为已被入侵:移除恶意账户和文件,更换所有凭据 (Joomla 后台、数据库、FTP/SSH、主机面板),强制所有用户重新登录,并考虑从入侵之前 所做的、已知良好的备份中恢复。如果您的组织有 IT 安全团队或国家级 CERT,请让他们参与进来。

我想说明清楚:我 没有 就上述任何指标检查过您的站点,也不知道您的站点是否受到影响。 此列表列在此处,是为了让您可以自行检查。

我没有网站管理员 / 我遇到了困难

如果您不是维护站点的人,请将本页面转发给负责维护的人(您的网页开发者、代理机构或主机服务商)。 他们会很快认出上述步骤。

如果您自己维护站点却遇到了困难,我很乐意免费帮您指明正确的方向。请使用下方的联系方式与我联系。

联系方式

Evan Harris,安全研究员

我就此类问题主动联系,纯粹是为了帮助运营者保护他们的站点。如果您希望不再被联系, 只需告诉我,我会予以尊重。

参考资料

官方通告与追踪

厂商(JoomShaper)

报道与分析