Krytyczna podatność w rozszerzeniu SP Page Builder dla Joomla

Zespół CERT Polska informuje o krytycznej podatności w rozszerzeniu SP Page Builder dla systemu Joomla.

Podatność, oznaczona jako CVE-2026-48908 (CVSS 10.0), pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie dowolnego kodu. Luka wynika z braku właściwego uwierzytelniania i weryfikacji typu plików w komponencie przesyłania ikon, co umożliwia przesłanie i wykonanie złośliwego skryptu PHP. Podatność jest aktywnie wykorzystywana w atakach, a skutki udanego ataku obejmują pełną kompromitację strony lub serwera, w tym tworzenie ukrytych kont administratora, umieszczanie trwałych metod dostępu w katalogu `/media/com_sppagebuilder/assets/` oraz odczyt pliku konfiguracyjnego Joomla.

Podatność dotyczy wersji rozszerzenia SP Page Builder od 1.0.0 do 6.6.1 włącznie. Rekomendujemy niezwłoczną aktualizację rozszerzenia do wersji 6.6.2 lub nowszej. Jeśli natychmiastowa aktualizacja nie jest możliwa, zalecamy zastosowanie oficjalnej łatki udostępnionej przez producenta: https://www.joomshaper.com/forum/question/45258

Dodatkowo zalecamy weryfikację systemu pod kątem:

• nieoczekiwanych plików PHP w katalogu `media/.../iconfont/`,

• nowych, nieautoryzowanych kont administratora,

• innych nieautoryzowanych plików PHP w katalogach images, media lub tmp.

W przypadku potwierdzenia kompromitacji strony zalecamy zgłoszenie incydentu do naszego zespołu przez stronę incydent.cert.pl.