2026年7月9日,JoomShaper 在其官网发布了一则简短但分量极重的公告:正式终止对所有产品的 Joomla 3 版本提供技术支持,包括安全补丁。公告中最引人注目的一句话是:"无论漏洞严重程度如何,均不提供安全补丁。"(No security patches, regardless of severity.)
这意味着,即便未来在 Joomla 3 版本的 SP Page Builder 或 Helix 框架中发现 CVSS 10.0 的远程代码执行漏洞,厂商也将不再修复。对于仍运行 Joomla 3 的站点来说,这无异于一颗定时炸弹。
涉及哪些产品?
以下 JoomShaper 产品的 Joomla 3 版本全部冻结,不再接收任何更新:
- SP Page Builder——Joomla 生态最流行的页面构建器之一
- Helix Ultimate 框架——最广泛使用的 Joomla 模板框架
- Helix3 框架——Helix Ultimate 的前身,仍有大量老站点使用
- EasyStore——JoomShaper 的电商解决方案
- Power Admin及其他管理工具
- 所有 JoomShaper 出品的 Joomla 模板
Joomla 4/5/6 版本的用户不受此公告影响,仍可正常获得支持。
为什么这次公告格外严峻?
1. 时机:CVSS 10.0 漏洞余波未平
就在公告发布不到一个月前(2026年6月),SP Page Builder 刚刚爆出 CVE-2026-48908——一个 CVSS 满分 10.0 的致命漏洞,允许未经认证的攻击者上传任意文件并植入隐藏的超级管理员账户。该漏洞已被在野大规模利用,并被 CISA 于 7 月 7 日列入 KEV(已知被利用漏洞)目录,要求联邦机构在 7 月 10 日前完成修复。
JoomShaper 及时在 6.6.2 版本中修复了这一漏洞,但仅针对 Joomla 4/5/6。按新政策,若同等严重度的漏洞再次出现在 Joomla 3 版本上,将不会再有补丁。
2. 同期安全事件:Helix Ultimate 2.2.7
就在同一天(7月7日),JoomShaper 还发布了 Helix Ultimate 2.2.7 安全更新。这次更新修复了大量严重漏洞:
- 未认证菜单写入→存储型XSS:com_ajax 处理器允许匿名请求写入菜单,攻击者可注入恶意脚本,在管理员访问后台时执行
- 任意文件删除:媒体管理的删除动作缺乏权限校验,可删除 configuration.php、.htaccess 等关键文件
- 开放重定向:helixreturn 参数直接重定向到任意 URL,可用于钓鱼攻击
- 未授权的模板配置导出:泄露完整模板配置信息
- 媒体上传校验过松:允许上传 SVG 等可携带活动内容的文件
这些修复同样仅针对 Joomla 4/5/6 版本。Helix3 框架虽然也发布了对应修复,但 JoomShaper 明确表示这是最后一批补丁。
3. 影响规模超乎想象
根据 W3Techs 截至 2026 年 7 月的最新数据:
- Joomla 3 仍占所有 Joomla 站点的 54.3%,是使用最多的版本
- Joomla 5 约 20%,Joomla 4 不到 10%,Joomla 6 刚起步
而在 Joomla 3 生态中,SP Page Builder 和 Helix 框架是使用最广泛的两大工具。这意味着,超过半数的 Joomla 站点将面临扩展层面的安全真空。
对中文用户的影响
国内 Joomla 用户的情况可能更为严峻。据我在社区中的观察,大量中文 Joomla 站点仍停留在 3.x 版本,其中不乏使用 Helix 模板和 SP Page Builder 构建的企业官网和电商站点。这些站点面临双重风险:
- Joomla 核心已停更多年——Joomla 3 官方安全支持已于 2023 年 8 月结束
- 核心扩展也将停更——SP Page Builder 和 Helix 不再提供安全补丁
更糟糕的是,由于国内网络环境和支付生态的特殊性,许多站点的定制化程度较高,迁移并非简单的"一键升级"。
迁移指南:现在就该行动
第一步:立即排查
检查你管理的所有 Joomla 站点,确认哪些仍运行 Joomla 3 且使用了 SP Page Builder 或 Helix 框架。可以通过 Joomla 后台的"扩展管理"查看已安装的扩展及版本。
第二步:短期止损
如果暂时无法迁移,建议采取以下措施:
- 部署 Web 应用防火墙(WAF),拦截针对已知漏洞的攻击请求
- 限制后台访问 IP,减少攻击面
- 定期检查用户列表,排查异常管理员账户
- 检查 .htaccess 和 configuration.php 是否被篡改
- 检查菜单中是否出现不明条目(可能是 XSS 注入痕迹)
第三步:制定迁移计划
迁移目标建议选择 Joomla 5 或 Joomla 6(Joomla 4 已于 2025 年 10 月结束安全支持):
- 优先选择 Joomla 5——当前最稳定的 LTS 版本,生态成熟
- 评估 Joomla 6——如果站点功能简单且追求最新特性,可直接升级到 Joomla 6.1+
- 迁移前务必在测试环境完整验证,特别是 SP Page Builder 的页面布局数据迁移
- 做好数据库和文件系统的完整备份
总结
JoomShaper 的这一决策虽然残酷,但从商业角度看是合理的——为已经 EOL 的平台继续投入安全维护资源确实难以持续。真正的问题在于,Joomla 3 的存量站点数量远超预期,而这些站点的管理者可能根本没有意识到问题的严重性。
对于中文 Joomla 社区而言,这既是一次警钟,也是一个契机:警醒那些"能用就行"心态下的安全麻痹,同时推动更多站点向现代 Joomla 架构迁移。
如果你的站点还在 Joomla 3 上运行着 Helix 和 SP Page Builder,请不要再拖延,立即开始迁移。安全不是可选项,而是底线。
参考来源:JoomShaper 官方公告(2026-07-09) | mySites.guru 技术分析 | CISA KEV 目录 | W3Techs 统计数据

评论 (0)