[email protected]
Košík je prázdný
Po kritické chybě JCE přichází další vážné riziko pro Joomla weby: SP Page Builder

Po kritické chybě JCE přichází další vážné riziko pro Joomla weby: SP Page Builder

Po kritické chybě JCE přichází další vážné riziko pro Joomla weby: SP Page Builder

Po kritické chybě JCE přichází další vážné riziko pro Joomla weby: SP Page Builder

V posledních dnech řeší správci Joomla webů další mimořádně závažný bezpečnostní problém. Krátce po kritické zranitelnosti editoru JCE, která umožňovala neautorizované nahrání editorového profilu a v krajním případě i nahrání škodlivých souborů, se objevila podobně nebezpečná chyba v rozšíření SP Page Builder.

Zranitelnost je evidována jako CVE-2026-48908 a týká se verzí SP Page Builderu starších než 6.6.2. Podle dostupných informací umožňuje nepřihlášenému útočníkovi nahrát na web libovolný soubor, což může vést až ke spuštění PHP kódu na serveru, tedy k plnému ovládnutí napadeného webu. Chyba je hodnocena jako kritická a u zranitelných instalací představuje bezprostřední bezpečnostní riziko.

Proč je chyba SP Page Builderu tak nebezpečná

SP Page Builder patří mezi velmi rozšířená rozšíření pro tvorbu obsahu a vizuální stavbu stránek v Joomla. Právě proto je tento problém srovnatelně závažný jako nedávná chyba JCE. Nejde pouze o teoretickou slabinu v kódu. Podle bezpečnostních analýz již dochází ke zneužívání chyby v praxi.

Útok je veden přes funkci pro nahrávání vlastních ikon, konkrétně přes task:

asset.uploadCustomIcon

U zranitelných verzí tato funkce neprováděla dostatečnou kontrolu přístupu a typu nahrávaného souboru.

V praxi to znamená, že útočník může bez znalosti hesla a bez přístupu do administrace nahrát na web škodlivý PHP soubor. Ten pak může sloužit jako zadní vrátka, souborový manažer, nástroj pro další šíření útoku nebo prostředek k vytvoření skrytého administrátorského účtu.

JCE a SP Page Builder: dvě kritické chyby krátce po sobě

Nedávná zranitelnost JCE, označená jako CVE-2026-48907, se týkala neautorizovaného nahrávání editorových profilů. Ty mohly být zneužity k povolení nebezpečných uploadů a následnému nahrání škodlivých souborů.

Chyba SP Page Builderu je velmi podobná svým dopadem. Opět jde o možnost nahrání souboru bez řádného oprávnění. Rozdíl je pouze v konkrétním rozšíření a zneužité funkci. Pro majitele webů je ale výsledek stejný – pokud je web zranitelný, může být napaden i bez prolomení hesla do administrace.

Koho se problém týká

Riziko se týká Joomla webů, na kterých je nainstalován SP Page Builder ve verzi nižší než 6.6.2. Opravená verze je 6.6.2, u které výrobce uvádí bezpečnostní opravu upload endpointů.

Ohrožené mohou být zejména weby, které:

  • používají SP Page Builder a nebyly v posledních dnech aktualizovány,
  • mají starší verze Joomla a rozšíření,
  • nejsou pravidelně monitorovány,
  • nemají aktivní aplikační firewall,
  • nebo dlouhodobě běží bez technické správy.

Jak poznat možné napadení

Správci webů by měli v logách hledat požadavky obsahující:

option=com_sppagebuilder
task=asset.uploadCustomIcon

Podezřelé jsou především POST požadavky, které skončily stavovým kódem 200. Dále je vhodné zkontrolovat nově vytvořené PHP soubory v adresářích images, media, tmp, cache a dalších zapisovatelných částech webu.

Bezpečnostní analýzy také upozorňují na možnost vytváření skrytých administrátorských účtů, například s e-maily končícími na:

@secure.local

Doporučený postup

Všechny weby se SP Page Builderem je nutné okamžitě zkontrolovat a aktualizovat na verzi 6.6.2 nebo novější. Samotná aktualizace však nemusí stačit, pokud už byl web předtím kompromitován. V takovém případě je potřeba provést kompletní bezpečnostní kontrolu.

Doporučujeme zejména:

  • zkontrolovat verzi SP Page Builderu,
  • aktualizovat rozšíření na poslední dostupnou verzi,
  • projít access logy a hledat pokusy o zneužití,
  • zkontrolovat podezřelé PHP soubory v zapisovatelných adresářích,
  • prověřit administrátorské účty v Joomla,
  • zkontrolovat soubory .htaccess, šablony, pluginy a cron úlohy,
  • změnit hesla administrátorům, FTP/SFTP/SSH a databázi, pokud existuje podezření na kompromitaci.

MyDreams.cz provádí kontroly a zabezpečení Joomla webů

Po nedávné chybě JCE jsme již zkontrolovali velké množství Joomla webů a u napadených instalací provedli odvirování, aktualizace a další zabezpečení. Nyní se stejnou prioritou kontrolujeme také výskyt zranitelného SP Page Builderu.

U novějších Joomla webů doporučujeme provést aktualizaci komponenty na aktuální verzi. U starších webů, kde již není možné jednoduše aktualizovat kvůli zastaralému PHP, šabloně nebo nekompatibilním rozšířením, je nutné zvolit individuální postup – od dočasné blokace zranitelného endpointu přes instalaci bezpečnostního firewallu až po výměnu nebo odstranění problematického rozšíření.

Závěr

Během krátké doby se v Joomla ekosystému objevily dvě velmi závažné zranitelnosti v populárních rozšířeních – nejprve JCE a nyní SP Page Builder. Obě chyby mají společný nebezpečný prvek: možnost zneužití bez přihlášení a potenciální nahrání škodlivého kódu na server.

Proto doporučujeme nečekat, až se problém projeví viditelným napadením webu. U podobných zranitelností často útočník nejprve vytvoří zadní vrátka a web může ještě nějakou dobu působit zcela normálně. Pravidelný servis, aktualizace a kontrola logů jsou v tuto chvíli nejúčinnější obranou.

Pokud provozujete Joomla web a nejste si jistí, zda používáte zranitelnou verzi SP Page Builderu nebo JCE, doporučujeme provést bezpečnostní kontrolu co nejdříve.