Компонент SP Page Builder Pro

akir

Профессор
Регистрация
6 Апр 2012
Сообщения
165
Реакции
41
Ищу новый компонент для Джумлы:

Конструктор лэндинг страниц SP Page Builder Pro
Скрытое содержимое доступно для зарегистрированных пользователей!
 
Вітаю! В мене SP Page Builder 3.6.10 на Joomla 3.10.12

Щойно була епопея з JCE. А зараз це.
Трохи посидів, бо до мене на контакти навіть такі листи почали приходити.
Ваш сайт повідомляє про SP Page Builder 3.6.10 (зчитано з його публічного manifest-файлу). Цей реліз входить до діапазону версій, яких стосується наведена нижче проблема; виправленням є версія 6.6.2.

Конкретна проблема, що впливає на цей діапазон версій:

- CVE-2026-48908: неавтентифіковане довільне завантаження файлів через endpoint icon-upload у SP Page Builder, що дозволяє віддаленому зловмиснику завантажити виконуваний код і захопити сайт; CVSS 10.0 і внесено до каталогу CISA Known Exploited Vulnerabilities, експлуатувалося як zero-day (вразливі: SP Page Builder 1.0.0 through 6.6.1, виправлено в 6.6.2).

Виправлення полягає в оновленні SP Page Builder до 6.6.2 або новішої версії; наведений нижче матеріал пояснює, як перевірити вашу версію та безпечно оновитися.

Одна важлива примітка: ця вада дозволяє зловмиснику захопити сайт без входу в систему, і її вже експлуатували в реальних атаках. Якщо на вашому сайті працювала вразлива версія, будь ласка, не припускайте, що його не зачепили, лише тому, що він і далі працює нормально. Оновлення закриває вразливість, але не прибирає доступ, який хтось уже міг отримати. У наведеному нижче матеріалі є короткий і конкретний контрольний список (облікові записи адміністраторів, яких ви не впізнаєте, і кілька розташувань файлів, які варто перевірити), щоб ви або ваш веброзробник могли підтвердити, що сайт чистий.

Ви можете незалежно перевірити все це за джерелами, які не пов’язані зі мною:

- Постачальник розширення, JoomShaper, і його поточний реліз: Для просмотра ссылки Войди или Зарегистрируйся
- CVE-2026-48908 у каталозі CISA Known Exploited Vulnerabilities: Для просмотра ссылки Войди или Зарегистрируйся
- CVE-2026-48908 у US National Vulnerability Database: Для просмотра ссылки Войди или Зарегистрируйся
- Мій власний матеріал із поясненням, як перевірити вашу версію та безпечно оновитися: Для просмотра ссылки Войди или Зарегистрируйся

Щоб чітко пояснити, що саме я зробив: я лише переглянув файли, які ваш сайт і так віддає кожному відвідувачу (публічні файли розширення SP Page Builder і тег версії в його front-end assets), так само як і ваша головна сторінка є публічною. Я не отримував доступу до вашої адміністративної панелі, вашої бази даних чи будь-якої приватної частини сайту. Зокрема, я не торкався вразливої функції завантаження і нічого не тестував та не експлуатував. Це спостереження, засноване на версії, і сайт у вразливому діапазоні вже може бути захищений (наприклад, вебаплікаційним фаєрволом або виправленням, перенесеним у старішу версію).

Якщо ви не є людиною, яка підтримує сайт, будь ласка, перешліть це тому, хто цим займається. Я із задоволенням допоможу, якщо у вас виникнуть будь-які запитання.

З повагою,
Evan
Дослідник безпеки в Для просмотра ссылки Войди или Зарегистрируйся

Це добросовісне сповіщення про безпеку, призначене для оператора вебсайту, згаданого вище. Якщо ви не та людина, яка має це отримати, або отримали це помилково, будь ласка, дайте відповідь, щоб повідомити нас, і ми оновимо наші записи, або просто проігноруйте це повідомлення.
Тут вищче написали що вийшов патч.
Який виправляє врозливість у components/com_sppagebuilder/controllers/asset.php
Що його потрібно просто замінити. Але є нюанс, такого файлу в мене немає і нічого міняти.

Там нижче з цього приводу є питання і відповідь - Для просмотра ссылки Войди или Зарегистрируйся
Вищезазначений файл виправлення призначений лише для SP Page Builder версій 5.x-6.6.1. Якщо у вас ще є SPPB 4.x або SPPB 3.x, він не для вас!
Якщо ви оновилися до SPPB 6.6.2+, він у вас вже є.


Спочатку думав що всьому гаплик, бо потрібно буде ще й джумлу оновлювати.
 
Назад
Сверху