Joomla 兩個頁面編輯外掛爆滿分漏洞,站主唔好淨係更新就算
Tech News

Joomla 兩個頁面編輯外掛爆滿分漏洞,站主唔好淨係更新就算

圖片:via iThome — https://www.ithome.com.tw/news/177158
TechLab 編輯部(譯)·

CISA 放入 KEV,重點係查後門同可疑管理員帳號

兩個都係 RCE,唔係普通外掛 bug

iThome 報道呢輪 CISA KEV 更新入面,兩個 Joomla 頁面編輯器外掛漏洞特別刺眼:JoomShaper SP Page Builder 嘅 CVE-2026-48908,同 Joomlack PageBuilder CK 嘅 CVE-2026-56290。兩個都攞到 CVSS v4 10 分,路線亦好直接:唔使登入,上載到可執行檔,最後變成 PHP code execution。講白啲,即係陌生人有機會喺你個 server 落 shell、改檔、開 admin、再留低返入嚟嘅門。

SP Page Builder 官方產品頁配圖,畫面顯示頁面編輯器介面同設定面板

圖片:JoomShaper

KEV 同 10 分代表咩

CVSS 10 分唔係得個分數嚇人。 NVD 顯示兩個 CVE 嘅 CVSS v4 vector 都係網上可打、低難度、唔使權限、唔使人手互動,機密性、完整性同可用性影響都高。KEV 再多一層意思:CISA 認為漏洞已經喺真實攻擊入面用緊。分數講最壞後果,KEV 講而家有人開打;兩樣疊埋,patch priority 就唔應該排到月尾。

CISA feed 顯示兩個 CVE 都喺 2026-07-07 入 KEV,due date 係 2026-07-10。呢個日期只係美國聯邦機構嘅硬 deadline,唔係香港公司法定限期;但攻擊者同 scanner 唔會理你屬唔屬於美國政府。香港中小企、學校、NGO 或 agency 代管站,如果有對外 Joomla,風險一樣即時。

mySites.guru 截圖,掃描工具標出三個可疑 Super Admin 帳號同 @secure.local 電郵

圖片:mySites.guru

SP Page Builder:6.6.2 之後仲要清場

SP Page Builder 呢邊,Joomla Extension Directory 顯示 6.6.2 係而家公開版本,changelog 寫明修正 upload endpoints security;NVD 記錄受影響版本去到 6.6.1。mySites.guru 話佢哋見到攻擊者經呢條洞種隱藏 Super Administrator,常見電郵尾巴係 @secure.local,另外會放 PHP File Manager 類 web shell 去 images/<random>/fonts//media/com_admin//media/regularlabs/。JoomShaper support forum 亦提醒,升上 6.6.2 只係關返入口,如果之前已經中招,惡意檔案同帳號唔會自己消失。

mySites.guru 截圖,Important 分頁標出 Page Builder CK 舊版外掛同疑似入侵警示

圖片:mySites.guru

PageBuilder CK:3.6.0 係分水嶺

PageBuilder CK 情況似,但細節唔同。Joomlack release notes 喺 6 月 27 日寫 3.6.0 修 security issue,6 月 29 日 3.6.1 再加強 Google fonts manager、Pixabay manager 同 ajax request security。mySites.guru 指出,3.5.10 或以下可以俾人免登入上載可執行檔,攻擊者仲可以揀檔案落去邊個目錄,唔只係丟去 images。佢哋 6 月 27 日已經見到 /media/com_pagebuilderck/gfonts/bhup.php 呢類 web shell;用 Joomla 3 或 Joomla 4 舊線,mySites.guru 寫到 vendor 有 3.1.1 同 3.4.10 back-patch,站主要照自己 Joomla 版本對返。

站主即刻做呢幾件事

如果你管 Joomla 站,先列 inventory,再查 compromise。 SP Page Builder 低過 6.6.2 就更新;PageBuilder CK 低過 3.6.0 就更新,Joomla 3 舊站至少要 3.1.1,Joomla 4 舊站至少要 3.4.10。跟住查後台帳號有冇唔識嘅 Super User,尤其 @secure.local;再掃陌生 PHP 檔,SP Page Builder 方向睇 images/<random>/fonts//media/com_admin//media/regularlabs/,PageBuilder CK 方向睇 /media/com_pagebuilderck/,尤其 gfonts 入面。最後改 Joomla admin、DB、FTP/SSH 密碼,清 session,對返 access log 入面嘅 upload request 同新 admin 建立時間。

香港舊 CMS 最易中呢類招

Joomla 喺香港唔算最熱,但舊 CMS 好常見:中小企網站、學校活動頁、NGO 捐款頁、agency 代管嘅多年項目,最怕表面冇變,暗地就開咗 admin、塞 SEO spam、偷走網上表格資料,甚至拖累同一 hosting account 其他客戶。外判項目交貨後冇人日日巡 extension,呢類 RCE 就係專打呢個空位。如果你賣網站維護,extension inventory、批量更新同入侵後掃描應該放入基本合約,唔好當附加服務。

更新完唔代表完事

今次最容易做錯嘅位,係更新完就收工。兩個漏洞都屬於 page builder 前台入口,攻擊面闊;加上 KEV 已確認有人用緊,慢幾日就可能由 patch 工單變 incident cleanup。管緊 Joomla 嘅人,呢幾日先做 inventory、更新、查 admin、掃 web shell;WAF 規則只係買時間,唔好當成修補。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook