Faille critique CVSS 10.0 dans SP Page Builder (Joomla/JoomShaper), ajoutée au CISA KEV le 7 juillet 2026 : upload PHP non-authentifié via l'endpoint uploadCustomIcon menant à une exécution de code arbitraire. Mise à jour urgente vers la version 6.6.2.
En bref
- CVE-2026-48908 : upload PHP non-authentifié dans SP Page Builder (Joomla/JoomShaper), CVSS 10.0, zero-day exploité activement
- Toutes les versions jusqu'à 6.6.1 incluse sont vulnérables ; correctif disponible dans la version 6.6.2
- Action urgente : mise à jour immédiate vers SP Page Builder 6.6.2 — ajoutée au CISA KEV le 7 juillet 2026, délai de remédiation fédéral expiré le 10 juillet
Les faits
CVE-2026-48908 est une vulnérabilité critique de type « unrestricted file upload » affectant l'extension SP Page Builder développée par JoomShaper pour le CMS Joomla. Publiée et ajoutée au catalogue Known Exploited Vulnerabilities (KEV) de la CISA le 7 juillet 2026, cette faille a reçu un score CVSS 3.1 de 10.0 (vecteur CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H), le score maximal possible, reflet de sa nature entièrement réseau, sans condition d'authentification, sans interaction utilisateur requise, et avec un impact complet en confidentialité, intégrité et disponibilité. Elle est classifiée sous le CWE-434 (Unrestricted Upload of File with Dangerous Type) par NVD/NIST.
SP Page Builder est l'une des extensions de construction de pages visuelles les plus populaires de l'écosystème Joomla, avec plus de 300 000 installations téléchargées selon le Joomla Extensions Directory (JED). Elle propose notamment une fonctionnalité d'upload d'icônes personnalisées destinée aux utilisateurs ayant des droits d'édition. C'est précisément ce point d'entrée fonctionnel qui constitue la surface d'attaque de CVE-2026-48908.
La vulnérabilité réside dans la fonction asset.uploadCustomIcon, accessible via l'endpoint public index.php?option=com_sppagebuilder&task=asset.uploadCustomIcon. Cette fonction ne procède à aucune vérification d'authentification avant de traiter la requête d'upload. N'importe quel acteur externe, sans compte Joomla d'aucune sorte, peut envoyer une requête HTTP POST à cet endpoint avec un fichier PHP malveillant. Le code vulnérable écrit directement le fichier dans le répertoire racine web du serveur, sans validation de type MIME, sans liste blanche d'extensions, et sans randomisation du nom. La conséquence directe est l'exécution de code PHP arbitraire côté serveur dès que l'attaquant accède à l'URL du fichier déposé.
La chronologie d'exploitation illustre la menace des zero-days de type upload non-authentifié. La vulnérabilité a été exploitée avant toute divulgation publique ou publication de correctif. Des attaquants ont été observés envoyant des requêtes POST à l'endpoint vulnérable, déposant un fichier PHP malveillant, puis l'exécutant immédiatement pour obtenir un web shell persistant. Dans les incidents analysés par les chercheurs de mySites.guru et documentés par SecurityWeek, l'exploitation était suivie dans les minutes suivantes de la création d'un nouveau compte Super Administrateur Joomla, donnant à l'attaquant un contrôle total sur le CMS.
La séquence technique d'attaque comporte trois étapes distinctes. Première étape : envoi d'une requête HTTP POST multipart/form-data à l'endpoint vulnérable avec un fichier PHP en pièce jointe (par exemple un webshell cmd.php). Deuxième étape : le serveur confirme l'upload réussi et retourne le chemin d'accès au fichier déposé. Troisième étape : requête HTTP GET vers l'URL du fichier pour déclencher l'exécution du code PHP et obtenir un accès shell au serveur. L'ensemble peut être automatisé en quelques secondes via un script ou un outil de scan.
La CISA a ajouté CVE-2026-48908 à son KEV dans le cadre d'une vague de quatre vulnérabilités activement exploitées publiée le 7 juillet 2026, aux côtés de CVE-2026-48282 (Adobe ColdFusion), CVE-2026-55255 (Langflow) et CVE-2026-56290 (Page Builder CK pour Joomla). Sous la Binding Operational Directive BOD 26-04, les agences fédérales civiles américaines (FCEB) avaient jusqu'au 10 juillet 2026 pour remédier à cette vulnérabilité, délai extrêmement court révélateur de la criticité de la menace.
Le correctif a été intégré dans la version 6.6.2 de SP Page Builder. JoomShaper a résolu le problème en ajoutant une vérification d'authentification obligatoire avant tout traitement de l'upload, accompagnée d'une validation stricte du type de fichier et d'une liste blanche des extensions autorisées. La faille est référencée sous le CWE-434 par NVD/NIST. Aucun PoC (proof-of-concept) public officiel n'avait été publié au moment de l'ajout au KEV, mais la CISA confirme l'exploitation active in-the-wild. Des équipes de threat intelligence signalent des requêtes automatisées visant l'endpoint uploadCustomIcon sur des milliers de sites Joomla, confirmant une campagne d'exploitation opportuniste à grande échelle.
La publication simultanée de CVE-2026-48908 et de CVE-2026-56290 (faille similaire dans le plugin concurrent Page Builder CK pour Joomla, CVSS 10.0, également ajoutée au CISA KEV le 7 juillet 2026) suggère une revue systématique des extensions de construction de pages pour Joomla. Cette convergence temporelle illustre une tendance de fond : les extensions visuelles de type page-builder, très répandues et souvent peu soumises à des audits de sécurité rigoureux, constituent désormais une surface d'attaque prioritaire pour les acteurs malveillants cherchant à compromettre des sites CMS à l'échelle. Selon les données de l'écosystème Joomla, SP Page Builder compte plus de 300 000 installations téléchargées, dont une fraction significative reste probablement non patchée dans les jours suivant la publication du correctif, représentant des dizaines de milliers de sites potentiellement exposés.
Impact et exposition
CVE-2026-48908 concerne tous les sites Joomla utilisant SP Page Builder en version antérieure à 6.6.2. L'exploitation ne requiert aucune condition préalable : pas de compte, pas de session active, pas d'interaction d'un utilisateur légitime. Un attaquant disposant d'un simple client HTTP peut exploiter la faille en quelques secondes depuis n'importe quel réseau, y compris via une connexion anonyme ou un proxy. L'impact potentiel est une compromission totale du serveur web : déploiement de ransomware, exfiltration de données personnelles, défiguration, ou utilisation du serveur comme pivot vers des systèmes internes.
Les sites e-commerce basés sur Joomla (VirtueMart, HikaShop, J2Store) sont particulièrement exposés, une compromission pouvant conduire à l'exfiltration de données clients, de coordonnées bancaires ou de tokens de paiement, avec des conséquences réglementaires RGPD et PCI-DSS significatives. Les sites institutionnels, administrations locales et associations utilisant Joomla avec SP Page Builder sont également concernés, notamment en France où Joomla conserve une part de marché notable dans le secteur public et associatif.
La surface d'attaque est aggravée par la trivialité de l'exploitation. Des outils de scan automatisés peuvent identifier en masse les installations vulnérables en testant la disponibilité de l'endpoint. Les campagnes mass-exploitation sont déjà en cours selon les données de threat intelligence disponibles.
Les indicateurs de compromission (IoC) identifiés incluent : des fichiers PHP inattendus dans les répertoires d'assets de SP Page Builder (components/com_sppagebuilder/assets/), des nouveaux comptes Super Administrateur créés sans action légitime dans les logs Joomla, et des entrées inhabituelles dans les logs Apache/Nginx correspondant à des POST sur l'endpoint uploadCustomIcon suivis de GET sur des fichiers .php dans les répertoires médias.
Recommandations immédiates
- Mettre à jour SP Page Builder vers la version 6.6.2 ou ultérieure — JoomShaper Security Advisory JSSA-2026-07-01
- Si la mise à jour immédiate est impossible : bloquer les requêtes POST vers l'endpoint
/index.php?option=com_sppagebuilder&task=asset.uploadCustomIconvia WAF, ModSecurity ou règles Apache/Nginx - Auditer les fichiers PHP inattendus :
find /var/www/html/components/com_sppagebuilder/ -name "*.php" -newer /var/www/html/index.php - Vérifier les logs d'accès web pour des POST anormaux sur l'endpoint vulnérable dans les 30 derniers jours
- Contrôler la liste des comptes Super Administrateur Joomla dans Utilisateurs → Gérer pour détecter tout compte suspect
- En cas de compromission avérée : isoler le serveur, restaurer depuis une sauvegarde saine, changer tous les secrets de configuration Joomla
⚠️ Urgence
Exploitation active confirmée par la CISA (KEV ajout du 7 juillet 2026). Des campagnes automatisées ciblent les installations SP Page Builder vulnérables à grande échelle. Toute instance Joomla avec SP Page Builder en version antérieure à 6.6.2 exposée sur Internet doit être considérée comme potentiellement compromise. La mise à jour est impérative dans les 24 heures.
Comment savoir si je suis vulnérable ?
Vérifiez la version de SP Page Builder dans votre panneau d'administration Joomla (Extensions → Gérer → Mises à jour). Si la version est inférieure à 6.6.2, vous êtes vulnérable. Pour tester l'exposition : envoyez une requête GET non authentifiée sur /index.php?option=com_sppagebuilder&task=asset.uploadCustomIcon — si le serveur répond HTTP 200 sans redirection vers la page de connexion, l'endpoint est public et la faille est exploitable.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Testez vos connaissances
Mini-quiz de certification lié à cet article — propulsé par CertifExpress
Articles connexes
CVE-2026-47291 : RCE Windows HTTP.sys CVSS 9.8 non-auth
CVE-2026-47291 : débordement d'entier dans HTTP.sys Windows (mode noyau), CVSS 9.8, permettant une RCE non-authentifiée sur toutes les versions Windows depuis un simple paquet HTTP. Marqué « exploitation plus probable » par Microsoft. Patch disponible depuis le Patch Tuesday de juin 2026.
CVE-2026-56290 : upload PHP non-auth Page Builder CK Joomla
CVE-2026-56290 : upload de fichier PHP non-authentifié dans Page Builder CK pour Joomla (CVSS 10.0), exploité activement en quelques heures après la publication du patch. Web shells PHP détectés dans les installations compromises. CISA KEV 7 juillet 2026.
CVE-2026-55255 : Langflow IDOR CVSS 9.9 ajouté au CISA KEV
CVE-2026-55255 (CVSS 9.9) est une vulnérabilité IDOR critique dans l'endpoint /api/v1/responses de Langflow, permettant à un attaquant authentifié d'exécuter les workflows d'autres utilisateurs et d'en exfiltrer les clés API. Ajoutée au CISA KEV le 8 juillet 2026.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire