CVE-2026-56290 : upload de fichier PHP non-authentifié dans Page Builder CK pour Joomla (CVSS 10.0), exploité activement en quelques heures après la publication du patch. Web shells PHP détectés dans les installations compromises. CISA KEV 7 juillet 2026.
En bref
- CVE-2026-56290 : upload de fichier PHP non-authentifié dans Page Builder CK (extension Joomla de joomlack.fr), CVSS 10.0, exploitation active confirmée
- Toutes les versions jusqu'à 3.5.10 incluse sont vulnérables ; correctif disponible dans la version 3.6.0
- Action urgente : mise à jour immédiate vers Page Builder CK 3.6.0 — ajoutée au CISA KEV le 7 juillet 2026, web shells détectés in-the-wild
Les faits
CVE-2026-56290 est une vulnérabilité critique d'upload de fichier arbitraire non-authentifié affectant l'extension Page Builder CK développée par joomlack.fr pour le CMS Joomla. Enregistrée avec un score CVSS 3.1 de 10.0 (vecteur CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H) par NVD/NIST et ajoutée au catalogue Known Exploited Vulnerabilities (KEV) de la CISA le 7 juillet 2026, cette faille représente l'une des vulnérabilités les plus sévères touchant l'écosystème Joomla à ce jour. La root cause est classifiée CWE-284 (Improper Access Control) selon NVD : le mécanisme de contrôle d'accès du gestionnaire d'upload côté front-end est contournable par tout visiteur non authentifié.
Page Builder CK est une extension populaire de l'écosystème Joomla permettant la construction de mises en page web complexes via une interface visuelle. Elle est utilisée par des dizaines de milliers de sites à travers le monde, notamment dans le secteur éducatif, institutionnel et associatif. La fonctionnalité d'upload de ressources (polices Google Fonts personnalisées, médias visuels) est au cœur de la surface d'attaque exploitée par CVE-2026-56290.
La vulnérabilité réside dans le gestionnaire d'upload accessible via l'interface front-end publique de l'extension. Contrairement à d'autres failles d'upload nécessitant au moins un compte utilisateur basique, CVE-2026-56290 ne requiert absolument aucune authentification. La seule protection en place était un token anti-CSRF Joomla — protection qui s'avère insuffisante car tout visiteur non authentifié peut obtenir ce token simplement en chargeant n'importe quelle page publique du site cible dans son navigateur. Une fois le token CSRF récupéré, l'attaquant peut immédiatement l'utiliser pour soumettre une requête d'upload contenant un fichier PHP malveillant, sans aucun compte ni session préalable.
Le processus d'exploitation est remarquablement simple à automatiser. Étape 1 : l'attaquant charge une page publique du site cible pour extraire le token CSRF Joomla de la réponse HTML. Étape 2 : il envoie une requête POST multipart/form-data vers l'endpoint vulnérable de Page Builder CK, incluant le token CSRF et un fichier PHP arbitraire. Étape 3 : le serveur accepte l'upload et stocke le fichier PHP dans un répertoire accessible via le web, typiquement sous /media/com_pagebuilderck/gfonts/. Étape 4 : l'attaquant accède à l'URL du fichier déposé via une requête GET pour déclencher l'exécution du code PHP et obtenir un accès shell au serveur. Des web shells portant le nom bhup.php ont été observés dans le répertoire /media/com_pagebuilderck/gfonts/ sur des sites compromis, confirmant le vecteur d'attaque in-the-wild.
La chronologie de la vulnérabilité est instructive sur la vitesse à laquelle les acteurs malveillants s'adaptent. Le correctif (version 3.6.0) a été publié par joomlack.fr le 27 juin 2026. Dans les heures suivant la disponibilité du patch, des attaquants ont commencé à exploiter la faille avant même que la majorité des administrateurs ait eu le temps d'appliquer la mise à jour — phénomène dit de « patch-gap exploitation ». La Center for Cybersecurity Belgium (CCB) a émis une alerte urgente à l'attention des organisations belges et européennes utilisant l'extension. La CISA a officiellement ajouté CVE-2026-56290 au KEV le 7 juillet 2026, aux côtés de trois autres vulnérabilités activement exploitées (CVE-2026-48282, CVE-2026-48908, CVE-2026-55255).
Sur le plan technique, l'absence de contrôle d'authentification côté serveur pour les uploads de ressources est un défaut de conception fondamental. Le gestionnaire d'upload de Page Builder CK ne vérifiait pas si l'utilisateur possédait un rôle Joomla ou une permission spécifique avant d'accepter le fichier. Cette vérification avait été délibérément omise ou mal implémentée pour permettre un accès simplifié à la fonctionnalité dans certains scénarios d'usage. La version 3.6.0 corrige ce défaut en imposant une vérification d'authentification et d'autorisation obligatoire sur l'endpoint d'upload, ainsi qu'une liste blanche des types de fichiers autorisés (polices web, images) excluant explicitement les extensions exécutables.
La co-occurrence de CVE-2026-56290 et CVE-2026-48908 (faille identique dans SP Page Builder, CVSS 10.0, CISA KEV le même jour) révèle un pattern systémique dans l'écosystème des CMS open source : les fonctionnalités d'upload de ressources dans les extensions visuelles sont rarement soumises à des revues de sécurité approfondies lors de leur développement initial, et la protection par token CSRF seul est considérée comme suffisante — alors qu'elle ne l'est pas. Cette tendance devrait inciter les équipes de développement d'extensions Joomla, WordPress et Drupal à auditer systématiquement toutes leurs fonctionnalités d'upload, en appliquant le principe de moindre privilège et en validant systématiquement l'identité et les droits de l'utilisateur côté serveur avant tout traitement de fichier.
Selon les données disponibles auprès du CCB Belgique et des analyses de mySites.guru, la faille est activement exploitée dans le cadre de campagnes opportunistes à grande échelle ciblant les sites Joomla exposés sur Internet. Des scans automatisés cherchent à identifier les installations vulnérables, et des tentatives d'exploitation sont observées dans les logs de pare-feu applicatifs de nombreuses organisations. La combinaison d'un score CVSS 10.0, d'une exploitation triviale et sans authentification, et de la présence dans le CISA KEV place CVE-2026-56290 parmi les vulnérabilités les plus urgentes à traiter dans les 48 heures.
Impact et exposition
CVE-2026-56290 affecte toutes les installations de Page Builder CK pour Joomla dans les versions antérieures à 3.6.0. L'exploitation est accessible à tout acteur disposant d'un navigateur ou d'un client HTTP basique : aucun compte, aucune connaissance préalable de la cible, aucun outillage spécialisé n'est requis. Le vecteur réseau et l'absence d'interaction utilisateur en font une cible idéale pour les campagnes automatisées de type mass-exploitation, où des milliers de sites peuvent être testés et compromis simultanément.
Les conséquences d'une exploitation réussie incluent : installation d'un web shell PHP permettant l'exécution de commandes système arbitraires avec les droits du serveur web (www-data, apache, nginx), exfiltration de la base de données Joomla et de toutes les données utilisateurs, modification du contenu des pages (défiguration), installation de backdoors persistantes, chiffrement des fichiers par un ransomware, et utilisation du serveur comme pivot vers les systèmes du réseau interne de l'organisation hébergeant le site.
Le répertoire /media/com_pagebuilderck/gfonts/ est normalement destiné à stocker des polices web téléchargées depuis Google Fonts. Sa présence dans le répertoire racine web accessible publiquement signifie que tout fichier PHP y étant déposé est directement exécutable via une requête HTTP, sans aucune restriction de serveur par défaut. Cette caractéristique amplifiée par la nature publique du répertoire en fait un vecteur d'attaque particulièrement efficace.
Les indicateurs de compromission (IoC) confirmés incluent : fichiers PHP inattendus dans /media/com_pagebuilderck/gfonts/ (notamment bhup.php et des variantes), requêtes POST anormales dans les logs web vers les endpoints d'upload de Page Builder CK, pics de trafic anormaux depuis des IP non habituelles vers des URLs en .php dans le répertoire média, et créations de comptes administrateurs Joomla non sollicitées dans les logs d'audit.
Recommandations immédiates
- Mettre à jour Page Builder CK vers la version 3.6.0 ou ultérieure — advisory CCB Belgium CVE-2026-56290, joomlack.fr Security Update juin 2026
- Auditer immédiatement le répertoire
/media/com_pagebuilderck/gfonts/à la recherche de fichiers PHP :find /var/www/html/media/com_pagebuilderck/ -name "*.php" - Si la mise à jour est impossible : désactiver l'extension dans l'administration Joomla ou bloquer l'accès aux endpoints d'upload via WAF/ModSecurity
- Ajouter une règle de serveur web interdisant l'exécution de PHP dans le répertoire
/media/com_pagebuilderck/(directive Apachephp_flag engine offou équivalent Nginx) - Analyser les logs d'accès web des 30 derniers jours pour détecter des POST vers les endpoints Page Builder CK et des GET vers des fichiers
.phpdans le répertoire média - IoC réseau : surveiller et bloquer les IP sources de requêtes POST répétées vers les endpoints d'upload de l'extension
⚠️ Urgence
Web shells actifs confirmés in-the-wild dans le répertoire /media/com_pagebuilderck/gfonts/. CISA KEV ajout du 7 juillet 2026. Si votre site utilise Page Builder CK en version antérieure à 3.6.0, procédez immédiatement à l'audit du répertoire gfonts/ et à la mise à jour. Considérez toute installation non patchée comme potentiellement compromise.
Comment savoir si je suis vulnérable ?
Vérifiez la version de Page Builder CK dans l'administration Joomla (Extensions → Gérer → Mises à jour). Si la version est inférieure à 3.6.0, vous êtes vulnérable. Pour détecter une compromission existante, exécutez la commande suivante sur votre serveur : find /var/www/html/media/com_pagebuilderck/ -name "*.php" -ls. Tout fichier PHP trouvé dans ce répertoire est suspect et doit être analysé immédiatement. Vérifiez également les logs Apache/Nginx avec : grep "com_pagebuilderck" /var/log/apache2/access.log | grep "POST".
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Testez vos connaissances
Mini-quiz de certification lié à cet article — propulsé par CertifExpress
Articles connexes
CVE-2026-47291 : RCE Windows HTTP.sys CVSS 9.8 non-auth
CVE-2026-47291 : débordement d'entier dans HTTP.sys Windows (mode noyau), CVSS 9.8, permettant une RCE non-authentifiée sur toutes les versions Windows depuis un simple paquet HTTP. Marqué « exploitation plus probable » par Microsoft. Patch disponible depuis le Patch Tuesday de juin 2026.
CVE-2026-48908 : RCE non-auth SP Page Builder CVSS 10.0
Faille critique CVSS 10.0 dans SP Page Builder (Joomla/JoomShaper), ajoutée au CISA KEV le 7 juillet 2026 : upload PHP non-authentifié via l'endpoint uploadCustomIcon menant à une exécution de code arbitraire. Mise à jour urgente vers la version 6.6.2.
CVE-2026-55255 : Langflow IDOR CVSS 9.9 ajouté au CISA KEV
CVE-2026-55255 (CVSS 9.9) est une vulnérabilité IDOR critique dans l'endpoint /api/v1/responses de Langflow, permettant à un attaquant authentifié d'exécuter les workflows d'autres utilisateurs et d'en exfiltrer les clés API. Ajoutée au CISA KEV le 8 juillet 2026.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire