В мире систем управления содержимым (CMS) произошло событие, которое требует немедленной реакции от администраторов сайтов. В популярном расширении PageBuilder CK для Joomla обнаружена критическая уязвимость. Она получила идентификатор CVE-2026-56290 в общем реестре уязвимостей и индекс BDU:2026-09466 в российском Банке данных угроз информации. Проблема касается любого сайта, где используется версия компонента до 3.5.10 включительно. Максимальная оценка по шкале CVSS версии 3.1 и 4.0 составляет 10 баллов. Это означает критический уровень опасности.
Детали уязвимости
Суть уязвимости кроется в некорректном разграничении доступа. Разработчик расширения, компания Cedric Keiflin, допустил ошибку в методе browse.ajaxAddPicture, который отвечает за загрузку изображений. Злоумышленник может отправить специально сформированный запрос, минуя все проверки прав. В результате на сервер можно загрузить файл любого типа, а не только изображения. Это именно та ситуация, которую специалисты описывают как неограниченную загрузку файлов опасного типа (CWE-434) в сочетании с неправильным контролем доступа (CWE-284).
Почему это так опасно? Представьте себе, что хакер загружает на ваш сайт не картинку, а вредоносный скрипт на языке PHP. После загрузки он просто обращается к этому файлу через браузер. Скрипт выполняется, и злоумышленник получает полный контроль над веб-сервером. Ему не нужны пароли, не нужно искать другие дыры. Всё, что требуется, - это знать адрес сайта. Такая техника называется закреплением в системе (persistence) с последующей доставкой вредоносной полезной нагрузки (payload). Атакующий может украсть базу данных пользователей, изменить содержимое страниц, разместить фишинговые формы или использовать сервер для атак на другие ресурсы.
Важно подчеркнуть, что уязвимость уже подтверждена производителем. Более того, существуют сведения о публичном эксплойте - готовом коде, который позволяет автоматизировать атаку. Это означает, что воспользоваться проблемой может любой пользователь интернета, даже не обладающий глубокими техническими знаниями. Управление по кибербезопасности и защите инфраструктуры США (CISA) уже внесло этот дефект безопасности в свой каталог активно используемых уязвимостей. Это прямой сигнал всем государственным и коммерческим структурам о том, что промедление недопустимо.
Способ эксплуатации классифицируется как злоупотребление функционалом и нарушение авторизации. То есть система сама предоставляет возможность загрузить файл, но делает это без должной проверки, кто именно выполняет действие. Атакующему не нужно быть зарегистрированным пользователем сайта, не требуется сессионный ключ. Достаточно отправить запрос напрямую к уязвимому методу расширения PageBuilder CK.
Каковы возможные последствия для владельца сайта? В лучшем случае злоумышленник просто разместит рекламный баннер. В худшем - он зашифрует базы данных программой-вымогателем (ransomware). Joomla - это система, которая часто используется для корпоративных порталов, интернет-магазинов и новостных изданий. Компрометация такого сайта приведёт к утечке персональных данных клиентов, остановке бизнес-процессов и репутационным потерям. Учитывая, что оценка CVSS 2.0 также составляет 10 баллов, вектор атаки является сетевым и не требует аутентификации. Это самый опасный сценарий.
Как защититься? Решение простое и единственное. Разработчик выпустил обновление до версии 3.6.0. Необходимо как можно скорее обновить расширение PageBuilder CK на всех сайтах. Скачать новую версию можно с официального сайта проекта Joomlack. Также стоит проверить папки для загрузки файлов на предмет подозрительных скриптов. Возможно, атака уже произошла, но вы о ней пока не знаете. Наличие файлов с расширениями .php, .phtml или .cgi в директориях для изображений - верный признак заражения.
В заключение стоит отметить важность своевременного обновления плагинов. Даже самый популярный и качественный модуль может содержать ошибку. Уязвимость в расширении сайта - это не дефект дизайна или документации. Это прямая брешь в безопасности. Каждый администратор должен воспринимать такие новости не как технический курьёз, а как руководство к действию. Если вы используете PageBuilder CK, отложите все дела и обновите систему сегодня же. Иначе ваш сайт рискует стать частью ботнета или источником утечки данных. Безопасность интернет-ресурсов начинается с контроля за каждым установленным компонентом.
Ссылки
- https://bdu.fstec.ru/vul/2026-09466
- https://www.cve.org/CVERecord?id=CVE-2026-46897
- https://github.com/shinthink/pbck-exploit
- https://forum.joomlack.fr/index.php/page-builder-ck/21627-nouvelle-version-de-pbck-et-joomla-3
- https://mysites.guru/blog/pagebuilderck-unauthenticated-file-upload-rce/
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-56290
- https://www.joomlack.fr/