
Joomla 兩個頁面編輯外掛爆滿分漏洞,站主唔好淨係更新就算
CISA 放入 KEV,重點係查後門同可疑管理員帳號
兩個都係 RCE,唔係普通外掛 bug
iThome 報道呢輪 CISA KEV 更新入面,兩個 Joomla 頁面編輯器外掛漏洞特別刺眼:JoomShaper SP Page Builder 嘅 CVE-2026-48908,同 Joomlack PageBuilder CK 嘅 CVE-2026-56290。兩個都攞到 CVSS v4 10 分,路線亦好直接:唔使登入,上載到可執行檔,最後變成 PHP code execution。講白啲,即係陌生人有機會喺你個 server 落 shell、改檔、開 admin、再留低返入嚟嘅門。

圖片:JoomShaper
KEV 同 10 分代表咩
CVSS 10 分唔係得個分數嚇人。 NVD 顯示兩個 CVE 嘅 CVSS v4 vector 都係網上可打、低難度、唔使權限、唔使人手互動,機密性、完整性同可用性影響都高。KEV 再多一層意思:CISA 認為漏洞已經喺真實攻擊入面用緊。分數講最壞後果,KEV 講而家有人開打;兩樣疊埋,patch priority 就唔應該排到月尾。
CISA feed 顯示兩個 CVE 都喺 2026-07-07 入 KEV,due date 係 2026-07-10。呢個日期只係美國聯邦機構嘅硬 deadline,唔係香港公司法定限期;但攻擊者同 scanner 唔會理你屬唔屬於美國政府。香港中小企、學校、NGO 或 agency 代管站,如果有對外 Joomla,風險一樣即時。

圖片:mySites.guru
SP Page Builder:6.6.2 之後仲要清場
SP Page Builder 呢邊,Joomla Extension Directory 顯示 6.6.2 係而家公開版本,changelog 寫明修正 upload endpoints security;NVD 記錄受影響版本去到 6.6.1。mySites.guru 話佢哋見到攻擊者經呢條洞種隱藏 Super Administrator,常見電郵尾巴係 @secure.local,另外會放 PHP File Manager 類 web shell 去 images/<random>/fonts/、/media/com_admin/ 或 /media/regularlabs/。JoomShaper support forum 亦提醒,升上 6.6.2 只係關返入口,如果之前已經中招,惡意檔案同帳號唔會自己消失。

圖片:mySites.guru
PageBuilder CK:3.6.0 係分水嶺
PageBuilder CK 情況似,但細節唔同。Joomlack release notes 喺 6 月 27 日寫 3.6.0 修 security issue,6 月 29 日 3.6.1 再加強 Google fonts manager、Pixabay manager 同 ajax request security。mySites.guru 指出,3.5.10 或以下可以俾人免登入上載可執行檔,攻擊者仲可以揀檔案落去邊個目錄,唔只係丟去 images。佢哋 6 月 27 日已經見到 /media/com_pagebuilderck/gfonts/bhup.php 呢類 web shell;用 Joomla 3 或 Joomla 4 舊線,mySites.guru 寫到 vendor 有 3.1.1 同 3.4.10 back-patch,站主要照自己 Joomla 版本對返。
站主即刻做呢幾件事
如果你管 Joomla 站,先列 inventory,再查 compromise。 SP Page Builder 低過 6.6.2 就更新;PageBuilder CK 低過 3.6.0 就更新,Joomla 3 舊站至少要 3.1.1,Joomla 4 舊站至少要 3.4.10。跟住查後台帳號有冇唔識嘅 Super User,尤其 @secure.local;再掃陌生 PHP 檔,SP Page Builder 方向睇 images/<random>/fonts/、/media/com_admin/、/media/regularlabs/,PageBuilder CK 方向睇 /media/com_pagebuilderck/,尤其 gfonts 入面。最後改 Joomla admin、DB、FTP/SSH 密碼,清 session,對返 access log 入面嘅 upload request 同新 admin 建立時間。
香港舊 CMS 最易中呢類招
Joomla 喺香港唔算最熱,但舊 CMS 好常見:中小企網站、學校活動頁、NGO 捐款頁、agency 代管嘅多年項目,最怕表面冇變,暗地就開咗 admin、塞 SEO spam、偷走網上表格資料,甚至拖累同一 hosting account 其他客戶。外判項目交貨後冇人日日巡 extension,呢類 RCE 就係專打呢個空位。如果你賣網站維護,extension inventory、批量更新同入侵後掃描應該放入基本合約,唔好當附加服務。
更新完唔代表完事
今次最容易做錯嘅位,係更新完就收工。兩個漏洞都屬於 page builder 前台入口,攻擊面闊;加上 KEV 已確認有人用緊,慢幾日就可能由 patch 工單變 incident cleanup。管緊 Joomla 嘅人,呢幾日先做 inventory、更新、查 admin、掃 web shell;WAF 規則只係買時間,唔好當成修補。
參考來源
- iThome — 美國警告Joomla外掛滿分漏洞已遭積極利用 — original report
- CISA Known Exploited Vulnerabilities JSON feed — 官方 KEV feed,核對兩個 CVE dateAdded、dueDate、requiredAction。
- NVD - CVE-2026-48908 — 核對 SP Page Builder 描述、CVSS 分數、受影響版本同 KEV 欄位。
- NVD - CVE-2026-56290 — 核對 PageBuilder CK 描述、CVSS 分數、KEV 欄位同 NVD CPE 記錄。
- SP Page Builder - Joomla Extension Directory — 官方 Joomla Extension Directory 產品頁,核對 SP Page Builder 6.6.2 同 changelog。
- Page Builder CK - JoomlaCK release notes — 開發方 release notes,核對 Page Builder CK 3.6.0/3.6.1 security fix。
- mySites.guru - SP Page Builder Zero Day Is Being Used to Plant Fake Joomla Admins — 第三方實際追蹤,提供 SP Page Builder 攻擊痕跡同清理建議。
- mySites.guru - PageBuilder CK File Upload RCE — 第三方實際追蹤,提供 PageBuilder CK exploitation、web shell 路徑同修補版本背景。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







