En bref

  • CVE-2026-48908 : upload PHP non-authentifié dans SP Page Builder (Joomla/JoomShaper), CVSS 10.0, zero-day exploité activement
  • Toutes les versions jusqu'à 6.6.1 incluse sont vulnérables ; correctif disponible dans la version 6.6.2
  • Action urgente : mise à jour immédiate vers SP Page Builder 6.6.2 — ajoutée au CISA KEV le 7 juillet 2026, délai de remédiation fédéral expiré le 10 juillet

Les faits

CVE-2026-48908 est une vulnérabilité critique de type « unrestricted file upload » affectant l'extension SP Page Builder développée par JoomShaper pour le CMS Joomla. Publiée et ajoutée au catalogue Known Exploited Vulnerabilities (KEV) de la CISA le 7 juillet 2026, cette faille a reçu un score CVSS 3.1 de 10.0 (vecteur CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H), le score maximal possible, reflet de sa nature entièrement réseau, sans condition d'authentification, sans interaction utilisateur requise, et avec un impact complet en confidentialité, intégrité et disponibilité. Elle est classifiée sous le CWE-434 (Unrestricted Upload of File with Dangerous Type) par NVD/NIST.

SP Page Builder est l'une des extensions de construction de pages visuelles les plus populaires de l'écosystème Joomla, avec plus de 300 000 installations téléchargées selon le Joomla Extensions Directory (JED). Elle propose notamment une fonctionnalité d'upload d'icônes personnalisées destinée aux utilisateurs ayant des droits d'édition. C'est précisément ce point d'entrée fonctionnel qui constitue la surface d'attaque de CVE-2026-48908.

La vulnérabilité réside dans la fonction asset.uploadCustomIcon, accessible via l'endpoint public index.php?option=com_sppagebuilder&task=asset.uploadCustomIcon. Cette fonction ne procède à aucune vérification d'authentification avant de traiter la requête d'upload. N'importe quel acteur externe, sans compte Joomla d'aucune sorte, peut envoyer une requête HTTP POST à cet endpoint avec un fichier PHP malveillant. Le code vulnérable écrit directement le fichier dans le répertoire racine web du serveur, sans validation de type MIME, sans liste blanche d'extensions, et sans randomisation du nom. La conséquence directe est l'exécution de code PHP arbitraire côté serveur dès que l'attaquant accède à l'URL du fichier déposé.

La chronologie d'exploitation illustre la menace des zero-days de type upload non-authentifié. La vulnérabilité a été exploitée avant toute divulgation publique ou publication de correctif. Des attaquants ont été observés envoyant des requêtes POST à l'endpoint vulnérable, déposant un fichier PHP malveillant, puis l'exécutant immédiatement pour obtenir un web shell persistant. Dans les incidents analysés par les chercheurs de mySites.guru et documentés par SecurityWeek, l'exploitation était suivie dans les minutes suivantes de la création d'un nouveau compte Super Administrateur Joomla, donnant à l'attaquant un contrôle total sur le CMS.

La séquence technique d'attaque comporte trois étapes distinctes. Première étape : envoi d'une requête HTTP POST multipart/form-data à l'endpoint vulnérable avec un fichier PHP en pièce jointe (par exemple un webshell cmd.php). Deuxième étape : le serveur confirme l'upload réussi et retourne le chemin d'accès au fichier déposé. Troisième étape : requête HTTP GET vers l'URL du fichier pour déclencher l'exécution du code PHP et obtenir un accès shell au serveur. L'ensemble peut être automatisé en quelques secondes via un script ou un outil de scan.

La CISA a ajouté CVE-2026-48908 à son KEV dans le cadre d'une vague de quatre vulnérabilités activement exploitées publiée le 7 juillet 2026, aux côtés de CVE-2026-48282 (Adobe ColdFusion), CVE-2026-55255 (Langflow) et CVE-2026-56290 (Page Builder CK pour Joomla). Sous la Binding Operational Directive BOD 26-04, les agences fédérales civiles américaines (FCEB) avaient jusqu'au 10 juillet 2026 pour remédier à cette vulnérabilité, délai extrêmement court révélateur de la criticité de la menace.

Le correctif a été intégré dans la version 6.6.2 de SP Page Builder. JoomShaper a résolu le problème en ajoutant une vérification d'authentification obligatoire avant tout traitement de l'upload, accompagnée d'une validation stricte du type de fichier et d'une liste blanche des extensions autorisées. La faille est référencée sous le CWE-434 par NVD/NIST. Aucun PoC (proof-of-concept) public officiel n'avait été publié au moment de l'ajout au KEV, mais la CISA confirme l'exploitation active in-the-wild. Des équipes de threat intelligence signalent des requêtes automatisées visant l'endpoint uploadCustomIcon sur des milliers de sites Joomla, confirmant une campagne d'exploitation opportuniste à grande échelle.

La publication simultanée de CVE-2026-48908 et de CVE-2026-56290 (faille similaire dans le plugin concurrent Page Builder CK pour Joomla, CVSS 10.0, également ajoutée au CISA KEV le 7 juillet 2026) suggère une revue systématique des extensions de construction de pages pour Joomla. Cette convergence temporelle illustre une tendance de fond : les extensions visuelles de type page-builder, très répandues et souvent peu soumises à des audits de sécurité rigoureux, constituent désormais une surface d'attaque prioritaire pour les acteurs malveillants cherchant à compromettre des sites CMS à l'échelle. Selon les données de l'écosystème Joomla, SP Page Builder compte plus de 300 000 installations téléchargées, dont une fraction significative reste probablement non patchée dans les jours suivant la publication du correctif, représentant des dizaines de milliers de sites potentiellement exposés.

Impact et exposition

CVE-2026-48908 concerne tous les sites Joomla utilisant SP Page Builder en version antérieure à 6.6.2. L'exploitation ne requiert aucune condition préalable : pas de compte, pas de session active, pas d'interaction d'un utilisateur légitime. Un attaquant disposant d'un simple client HTTP peut exploiter la faille en quelques secondes depuis n'importe quel réseau, y compris via une connexion anonyme ou un proxy. L'impact potentiel est une compromission totale du serveur web : déploiement de ransomware, exfiltration de données personnelles, défiguration, ou utilisation du serveur comme pivot vers des systèmes internes.

Les sites e-commerce basés sur Joomla (VirtueMart, HikaShop, J2Store) sont particulièrement exposés, une compromission pouvant conduire à l'exfiltration de données clients, de coordonnées bancaires ou de tokens de paiement, avec des conséquences réglementaires RGPD et PCI-DSS significatives. Les sites institutionnels, administrations locales et associations utilisant Joomla avec SP Page Builder sont également concernés, notamment en France où Joomla conserve une part de marché notable dans le secteur public et associatif.

La surface d'attaque est aggravée par la trivialité de l'exploitation. Des outils de scan automatisés peuvent identifier en masse les installations vulnérables en testant la disponibilité de l'endpoint. Les campagnes mass-exploitation sont déjà en cours selon les données de threat intelligence disponibles.

Les indicateurs de compromission (IoC) identifiés incluent : des fichiers PHP inattendus dans les répertoires d'assets de SP Page Builder (components/com_sppagebuilder/assets/), des nouveaux comptes Super Administrateur créés sans action légitime dans les logs Joomla, et des entrées inhabituelles dans les logs Apache/Nginx correspondant à des POST sur l'endpoint uploadCustomIcon suivis de GET sur des fichiers .php dans les répertoires médias.

Recommandations immédiates

  • Mettre à jour SP Page Builder vers la version 6.6.2 ou ultérieure — JoomShaper Security Advisory JSSA-2026-07-01
  • Si la mise à jour immédiate est impossible : bloquer les requêtes POST vers l'endpoint /index.php?option=com_sppagebuilder&task=asset.uploadCustomIcon via WAF, ModSecurity ou règles Apache/Nginx
  • Auditer les fichiers PHP inattendus : find /var/www/html/components/com_sppagebuilder/ -name "*.php" -newer /var/www/html/index.php
  • Vérifier les logs d'accès web pour des POST anormaux sur l'endpoint vulnérable dans les 30 derniers jours
  • Contrôler la liste des comptes Super Administrateur Joomla dans Utilisateurs → Gérer pour détecter tout compte suspect
  • En cas de compromission avérée : isoler le serveur, restaurer depuis une sauvegarde saine, changer tous les secrets de configuration Joomla

⚠️ Urgence

Exploitation active confirmée par la CISA (KEV ajout du 7 juillet 2026). Des campagnes automatisées ciblent les installations SP Page Builder vulnérables à grande échelle. Toute instance Joomla avec SP Page Builder en version antérieure à 6.6.2 exposée sur Internet doit être considérée comme potentiellement compromise. La mise à jour est impérative dans les 24 heures.

Comment savoir si je suis vulnérable ?

Vérifiez la version de SP Page Builder dans votre panneau d'administration Joomla (Extensions → Gérer → Mises à jour). Si la version est inférieure à 6.6.2, vous êtes vulnérable. Pour tester l'exposition : envoyez une requête GET non authentifiée sur /index.php?option=com_sppagebuilder&task=asset.uploadCustomIcon — si le serveur répond HTTP 200 sans redirection vers la page de connexion, l'endpoint est public et la faille est exploitable.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.

Demander un audit