Критическая уязвимость в SP Page Builder угрожает тысячам сайтов на Joomla: обнаружен общедоступный эксплойт

vulnerability

В Банке данных угроз безопасности информации (BDU) была зафиксирована критическая уязвимость, затрагивающая популярный конструктор страниц SP Page Builder от компании JoomShaper. Этот инцидент мгновенно привлёк внимание специалистов по информационной безопасности. Всё дело в том, что уязвимость позволяет удалённому злоумышленнику полностью захватить контроль над сайтом. Причём для атаки не требуется никакой аутентификации.

Детали уязвимости

Проблема получила идентификатор BDU:2026-09523 (CVE-2026-48908) и связана с типом ошибки CWE-434. Речь идёт о неограниченной загрузке файлов опасного типа. Проще говоря, злоумышленник может загрузить на сервер вредоносный исполняемый файл, выдавая его за безобидную иконку или изображение. После этого файл выполняется, и атакующий получает возможность запускать произвольный код. В результате этого сайт оказывается под полным контролем нарушителя.

Уровень опасности уязвимости оценивается как критический. По стандарту CVSS 3.1 базовая оценка составила 9,8 балла из 10. Это один из самых высоких показателей. Вектор атаки крайне прост: злоумышленник действует удалённо через сеть (AV:N), для эксплуатации не требуются сложные условия (AC:L), а самое главное - для атаки не нужна аутентификация (PR:N). Взаимодействие с жертвой не требуется (UI:N). Успешная эксплуатация приводит к полной компрометации конфиденциальности, целостности и доступности данных (C:H/I:H/A:H).

Под удар попали все версии SP Page Builder вплоть до 6.6.2. Это расширение для системы управления контентом Joomla используется тысячами веб-мастеров по всему миру. Оно позволяет создавать сложные страницы без навыков программирования. Именно широкая распространённость делает уязвимость столь опасной.

Дата выявления уязвимости - 15 июня 2026 года. Однако первые признаки проблемы появились чуть раньше. Исследователь безопасности под псевдонимом Abdulganitumbi опубликовал в LinkedIn предупреждение для администраторов Joomla. Он сообщил, что злоумышленники активно используют функцию загрузки пользовательских иконок в SP Page Builder. Вместо иконки они загружают скрипт, который после сохранения на сервере позволяет выполнить команды.

Способ эксплуатации классифицируется как злоупотребление функционалом. Это значит, что разработчики предусмотрели загрузку файлов для легитимных целей, но не ограничили типы загружаемых данных. Вдобавок ко всему, в открытом доступе уже появился код эксплуатации (PoC). На GitHub опубликовано несколько репозиториев с рабочими эксплойтами. Такая ситуация многократно увеличивает риски. Теперь атаку может провести даже начинающий хакер, просто скопировав готовый код.

Вместе с тем производитель уже подтвердил наличие уязвимости. Компания JoomShaper выпустила обновление, которое устраняет проблему. Версия 6.6.2 и более новые сборки не подвержены данной угрозе. Администраторам настоятельно рекомендуется как можно скорее обновить расширение. Кроме того, на форуме поддержки JoomShaper опубликованы рекомендации по временным мерам защиты для тех, кто не может установить патч немедленно.

Каковы же реальные последствия эксплуатации? Представьте, что злоумышленник получает доступ к панели управления сайтом на Joomla. Он может заменить страницы на фишинговые формы, украсть базу данных пользователей, установить закладки для постоянного доступа. В худшем случае атакующий использует скомпрометированный сайт как плацдарм для атаки на внутреннюю сеть компании. Владельцы интернет-магазинов рискуют потерять данные платежных карт клиентов.

Важно понимать, что уязвимость затрагивает не только сам SP Page Builder, но и всю экосистему Joomla. После захвата сайта злоумышленник может изменить ядро CMS, внедрить вредоносные расширения или скрытые бэкдоры. Обнаружить такую активность без специальных средств мониторинга практически невозможно.

Для специалистов по информационной безопасности сейчас наступает критический момент. Необходимо проверить все сайты, использующие SP Page Builder, на версию расширения. Если используется версия ниже 6.6.2, нужно немедленно обновить её. В качестве временной меры можно отключить функцию загрузки пользовательских иконок в настройках компонента. Также стоит проверить папки загрузки на наличие подозрительных файлов с расширениями .php, .phtml или .shtml.

В целом, данный инцидент в очередной раз напоминает о важности своевременного обновления плагинов и расширений для систем управления контентом. Даже проверенные разработчики могут допустить критическую ошибку. А когда эксплойт уже опубликован, счёт идёт на часы. Чем быстрее администраторы отреагируют, тем меньше сайтов окажется скомпрометировано.

Ссылки

Комментарии: 0