2026年7月7日,美国网络安全与基础设施安全局(CISA)做出罕见动作——一次性将4个安全漏洞列入其"已知利用漏洞"(KEV)目录,其中2个直接指向Joomla生态系统的页面构建器扩展。不到72小时后,新加坡网络安全局(CSA)也发布了全国性安全警报。这不是演习,你的网站可能已经出事。

发生了什么?

事情要从6月下旬说起。Joomla安全团队陆续收到了关于两个流行页面构建器扩展存在严重漏洞的报告:

  • CVE-2026-48908(CVSS 10.0):影响 JoomShaper 的 SP Page Builder,这是一个拥有超过40万活跃安装量的Joomla旗舰页面构建器。漏洞位于 asset.uploadCustomIcon 端点,允许未经认证的攻击者上传任意文件——包括PHP一句话木马。修复版本为 6.6.2。
  • CVE-2026-56290(CVSS 10.0):影响 Joomlack 的 Page Builder CK,同样是一个流行的页面构建工具。漏洞源于不当的访问控制,允许未认证用户通过文件上传实现远程代码执行。修复版本为 3.6.0。

这两个漏洞的共同点是:都不需要任何登录凭据即可利用,攻击者只需向特定URL发送一个精心构造的HTTP请求,就能在目标服务器上写入恶意文件并执行任意PHP代码。

攻击已经大规模展开

根据 mySites.guru 安全团队的监控数据,自6月27日起,针对这两个漏洞的扫描和利用尝试呈爆发式增长。攻击者开始在受感染的站点上部署 Web Shell,首个被捕获的恶意文件位于 /media/com_pagebuilderck/gfonts/bhup.php——但这只是冰山一角。由于 Page Builder CK 漏洞允许攻击者选择目标文件夹,恶意文件可能隐藏在网站的任何可写目录中:/images/media/templates,甚至 /administrator 目录。

更令人担忧的是 SP Page Builder 的攻击模式。成功利用 CVE-2026-48908 后,攻击者不仅上传了恶意文件,还直接在 Joomla 网站中创建了新的 Super User 账户——这意味着攻击者获得了网站的最高管理权限。有了 Super User 权限,攻击者可以:

  • 修改或删除任何文章和页面内容
  • 安装后门扩展,建立持久化访问
  • 窃取数据库中存储的用户信息和敏感数据
  • 利用服务器作为跳板攻击同一主机上的其他网站
  • 植入SEO垃圾内容或恶意重定向,造成搜索引擎降权

CISA 为何如此重视?

KEV 目录的收录标准是"存在正在进行的主动利用的证据"。这意味着这两个漏洞不是理论上的风险,而是已经在真实环境中造成了实际的入侵事件。CISA 要求联邦民事行政部门(FCEB)机构在7月10日之前完成补丁应用——这个截止日期本身就说明了问题的紧迫性。

从技术角度分析,这两个漏洞的严重性在于攻击门槛极低。攻击者不需要任何Joomla知识,只需使用Shodan或类似的搜索引擎扫描全网使用这些扩展的站点,然后自动发送恶意请求即可。在漏洞公开后的几小时内,自动化攻击脚本就已经在暗网论坛上流传。

如何确认你的网站是否受影响?

如果你不确定自己的网站是否使用了这些扩展,请登录Joomla后台,进入"扩展 → 管理 → 管理",搜索以下关键词:

  • SP Page Builder:如果版本低于 6.6.2,立即更新
  • Page Builder CK:如果版本低于 3.6.0,立即更新

即使你的网站没有主动使用这些页面构建器,也要检查是否曾安装过。很多Joomla快速启动包(Quickstart Package)会预装页面构建器,即使你后来切换到了其他方式编辑内容,这个扩展可能仍然处于激活状态。

除了更新,还需要做什么?

仅更新扩展版本是不够的。如果你的网站在漏洞公开后没有及时更新,必须执行以下深度检查:

  1. 检查超级管理员账户:进入"用户 → 管理",按"用户组"排序,检查 Super Users 组中是否有你不认识的账户。特别注意最近注册日期的新账户。
  2. 扫描可疑PHP文件:使用命令行或安全扫描工具检查以下目录中是否存在不属于扩展包的不明PHP文件:/images/media/templates/tmp/administrator/components/administrator/modules
  3. 检查 .htaccess 和配置文件:攻击者有时会修改 .htaccessconfiguration.php 来添加恶意重定向或后门入口。
  4. 审查 crontab 和计划任务:确认没有未经授权的定时任务在运行。
  5. 检查数据库:查看 xxx_extensions 表中是否有可疑的扩展记录。

推荐使用 mySites.guru 的免费安全扫描服务对网站进行一次完整检查——该团队是第一批发现并报告这些漏洞的安全研究机构。

给中文Joomla用户的特别建议

对于国内Joomla用户,这个事件有几个特别需要注意的点:

第一,国内主机环境的特殊性。很多国内Joomla网站运行在虚拟主机或低成本VPS上,PHP的 open_basedirdisable_functions 配置可能不够严格。即使攻击者上传了PHP文件,如果主机商的PHP安全配置得当(如禁用 execsystempassthru 等危险函数),攻击的影响范围会受到限制。但不要依赖这一点,更新扩展才是根本解决之道。

第二,备份策略。如果你的网站不幸被入侵,拥有一个干净的、漏洞利用前的完整备份将是你恢复网站最快的方式。建议使用 Akeeba Backup 定期全量备份,并将备份文件存放在服务器之外的位置。

第三,关注供应链安全。这次事件再次提醒我们,Joomla核心本身的安全性并不等于网站整体的安全性。第三方扩展——尤其是那些有文件上传功能的扩展——往往是安全链条中最薄弱的环节。在选择扩展时,优先考虑有持续安全维护记录的开发者,并保持所有扩展处于最新版本。

总结

CVE-2026-48908 和 CVE-2026-56290 的联合爆发,是2026年以来Joomla生态面临的最严重的安全事件。两个CVSS满分漏洞、CISA KEV收录、全球多国网络安全机构发布警报——这些信号足以让每一个Joomla站长放下手中的工作,立即检查并更新自己的网站。

行动清单:SP Page Builder 更新至 6.6.2+ | Page Builder CK 更新至 3.6.0+ | 扫描可疑文件 | 检查管理员账户 | 做好备份。现在就动手,不要等到网站被黑了才后悔。

作者: 樱木花道

Joomla程序员,从J1.5到J6.x始终都在做Joomla相关开发定制工作,有超过10年行业经验,国内Joomla扩展开发商ZMAX团队的核心成员

作者网站:ZMAX程序人

评论 (0)

  • 最新在前
  • 最佳在前