Kritiskas ievainojamības Joomla CMS paplašinājumos

Joomla CMS jeb atvērtā pirmkoda satura pārvaldības sistēmas trijos paplašinājumos Joomla Content Editor (JCE), SP Page Builder un Page Builder CK atklātas kritiskas ievainojamības:
-
CVE-2026-48907 ( CVSS 10.0 )
Joomla Content Editor (JCE) paplašinājums < 2.9.99.5 ir pakļauts ievainojamībai, kas neautentificētam uzbrucējam ļauj izveidot jaunus redaktoru profilus un tādā veidā augšupielādēt un izpildīt patvaļīgu PHP kodu serverī, dodot iespēju pilnībā pārņemt tā kontroli.
Nepieciešams nekavējoties atjaunināt JCE uz 2.9.99.5 vai jaunāko pieejamo versiju. -
CVE-2026-48908 ( CVSS 10.0 )
Joomla SP Page Builder paplašinājuma versijas < 6.6.2 ir pakļautas patvaļīgai failu augšupielādes ievainojamībai (bez autentifikācijas), kas var rezultēties ar PHP koda izpildi uz mērķa servera no uzbrucēja puses, tādā veidā pilnībā pārņemot tā kontroli.
Nepieciešams nekavējoties atjaunināt SP Page Builder uz 6.6.2 versiju. -
CVE-2026-56290 ( CVSS 9.8 )
Joomla Page Builder CK paplašinājuma versijas < 3.6.0 ir pakļautas patvaļīgai failu augšupielādes ievainojamībai (bez autentifikācijas), kas var novest pie RCE jeb attālināta koda izpildes uz mērķa servera no uzbrucēja puses, tādā veidā pilnībā pārņemot tā kontroli.
Nepieciešams nekavējoties atjaunināt Page Builder CK uz 3.6.0 versiju. -
Nesen tika salabotas kritiskas drošības ievainojamības arī Helix3 veidņu ietvarā, kas ir Joomla paplašinājums (vēl nav piešķirts CVE kods), un ir pamatotas aizdomas, ka Helix3 ievainojamības arī tiek šobrīd aktīvi izmantotas, lai kompromitētu vietnes, kas izmanto Joomla. Aicinām šo spraudni atjaunināt vismaz uz Helix3 versiju 3.1.2 vai jaunāku.
Papildus piezīme: Šīs ievainojamības var netieši ietekmēt arī populāro mācību procesa pārvaldības sistēmu Moodle, bet tikai pie nosacījuma, ka tā tiek izmantota kā Joomla paplašinājums vai atrodas uz viena servera ar Joomla, kurai ir uzstādīti augstāk minētie ievainojamie paplašinājumi.
ATJAUNINĀJUMI JĀUZSTĀDA NEKAVĒJOTIES, jo visas aprakstītās ievainojamības jau tiek aktīvi izmantotas reālos kiberuzbrukumos.
Papildu informācija:
https://nvd.nist.gov/vuln/detail/CVE-2026-48907
https://www.joomlacontenteditor.net/news/jce-security-update-and-a-free-patch-for-older-sites
https://nvd.nist.gov/vuln/detail/CVE-2026-48908
https://extensions.joomla.org/extension/sp-page-builder/
https://nvd.nist.gov/vuln/detail/CVE-2026-56290
https://www.joomlack.fr/extensions-joomla/page-builder-ck
https://htprotect.org/en/helix3







