CRITICAL🇬🇧 English

CVE-2026-56290

Krytyczny unauthenticated arbitrary file upload z RCE w Page Builder CK dla Joomla

CVSS 10.0v4.0pub. 2026-06-29upd. 2026-07-05

Rozszerzenie Page Builder CK dla systemu Joomla zawiera krytyczną podatność umożliwiającą nieuwierzytelnionemu atakującemu przesłanie dowolnych plików wykonywalnych na serwer. Skutkiem jest uzyskanie pełnego zdalnego wykonania kodu (RCE) bez konieczności posiadania jakiegokolwiek konta w systemie.

Pokaż oryginał (EN)

The Joomla extension Page Builder CK is vulnerable to an unauthenticated arbitrary file upload that allows uploading executable files and leads to full RCE.

🤖 Analiza AI
Jak działa

Podatność wynika z braku odpowiedniej kontroli dostępu (CWE-284) w mechanizmie przesyłania plików rozszerzenia Page Builder CK. Atakujący bez żadnego uwierzytelnienia może wysłać żądanie HTTP zawierające plik wykonywalny (np. webshell PHP) do podatnego endpointu. Po pomyślnym przesłaniu plik zostaje zapisany w lokalizacji dostępnej przez serwer WWW, co umożliwia jego zdalne wywołanie i wykonanie dowolnych poleceń systemowych.

Skutki

Atakujący uzyskuje pełną kontrolę nad serwerem — może wykonywać dowolne polecenia systemowe, odczytywać i modyfikować dane, a także wykorzystać przejęty serwer jako punkt wyjścia do dalszych ataków w sieci wewnętrznej.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://www.joomlack.fr/). Do czasu wdrożenia aktualizacji zaleca się wyłączenie lub odinstalowanie rozszerzenia Page Builder CK oraz ograniczenie dostępu do serwisu Joomla na poziomie firewall.

Kogo dotyczy

Rozszerzenie Page Builder CK dla systemu Joomla — wersje wskazane w referencjach producenta (https://www.joomlack.fr/)

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:A/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:Y/R:X/V:X/RE:X/U:Red
  • Joomlack Page Builder Ck

    APP
    Joomlack
    ≤ 3.6.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje