En bref

  • CVE-2026-56290 : upload de fichier PHP non-authentifié dans Page Builder CK (extension Joomla de joomlack.fr), CVSS 10.0, exploitation active confirmée
  • Toutes les versions jusqu'à 3.5.10 incluse sont vulnérables ; correctif disponible dans la version 3.6.0
  • Action urgente : mise à jour immédiate vers Page Builder CK 3.6.0 — ajoutée au CISA KEV le 7 juillet 2026, web shells détectés in-the-wild

Les faits

CVE-2026-56290 est une vulnérabilité critique d'upload de fichier arbitraire non-authentifié affectant l'extension Page Builder CK développée par joomlack.fr pour le CMS Joomla. Enregistrée avec un score CVSS 3.1 de 10.0 (vecteur CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H) par NVD/NIST et ajoutée au catalogue Known Exploited Vulnerabilities (KEV) de la CISA le 7 juillet 2026, cette faille représente l'une des vulnérabilités les plus sévères touchant l'écosystème Joomla à ce jour. La root cause est classifiée CWE-284 (Improper Access Control) selon NVD : le mécanisme de contrôle d'accès du gestionnaire d'upload côté front-end est contournable par tout visiteur non authentifié.

Page Builder CK est une extension populaire de l'écosystème Joomla permettant la construction de mises en page web complexes via une interface visuelle. Elle est utilisée par des dizaines de milliers de sites à travers le monde, notamment dans le secteur éducatif, institutionnel et associatif. La fonctionnalité d'upload de ressources (polices Google Fonts personnalisées, médias visuels) est au cœur de la surface d'attaque exploitée par CVE-2026-56290.

La vulnérabilité réside dans le gestionnaire d'upload accessible via l'interface front-end publique de l'extension. Contrairement à d'autres failles d'upload nécessitant au moins un compte utilisateur basique, CVE-2026-56290 ne requiert absolument aucune authentification. La seule protection en place était un token anti-CSRF Joomla — protection qui s'avère insuffisante car tout visiteur non authentifié peut obtenir ce token simplement en chargeant n'importe quelle page publique du site cible dans son navigateur. Une fois le token CSRF récupéré, l'attaquant peut immédiatement l'utiliser pour soumettre une requête d'upload contenant un fichier PHP malveillant, sans aucun compte ni session préalable.

Le processus d'exploitation est remarquablement simple à automatiser. Étape 1 : l'attaquant charge une page publique du site cible pour extraire le token CSRF Joomla de la réponse HTML. Étape 2 : il envoie une requête POST multipart/form-data vers l'endpoint vulnérable de Page Builder CK, incluant le token CSRF et un fichier PHP arbitraire. Étape 3 : le serveur accepte l'upload et stocke le fichier PHP dans un répertoire accessible via le web, typiquement sous /media/com_pagebuilderck/gfonts/. Étape 4 : l'attaquant accède à l'URL du fichier déposé via une requête GET pour déclencher l'exécution du code PHP et obtenir un accès shell au serveur. Des web shells portant le nom bhup.php ont été observés dans le répertoire /media/com_pagebuilderck/gfonts/ sur des sites compromis, confirmant le vecteur d'attaque in-the-wild.

La chronologie de la vulnérabilité est instructive sur la vitesse à laquelle les acteurs malveillants s'adaptent. Le correctif (version 3.6.0) a été publié par joomlack.fr le 27 juin 2026. Dans les heures suivant la disponibilité du patch, des attaquants ont commencé à exploiter la faille avant même que la majorité des administrateurs ait eu le temps d'appliquer la mise à jour — phénomène dit de « patch-gap exploitation ». La Center for Cybersecurity Belgium (CCB) a émis une alerte urgente à l'attention des organisations belges et européennes utilisant l'extension. La CISA a officiellement ajouté CVE-2026-56290 au KEV le 7 juillet 2026, aux côtés de trois autres vulnérabilités activement exploitées (CVE-2026-48282, CVE-2026-48908, CVE-2026-55255).

Sur le plan technique, l'absence de contrôle d'authentification côté serveur pour les uploads de ressources est un défaut de conception fondamental. Le gestionnaire d'upload de Page Builder CK ne vérifiait pas si l'utilisateur possédait un rôle Joomla ou une permission spécifique avant d'accepter le fichier. Cette vérification avait été délibérément omise ou mal implémentée pour permettre un accès simplifié à la fonctionnalité dans certains scénarios d'usage. La version 3.6.0 corrige ce défaut en imposant une vérification d'authentification et d'autorisation obligatoire sur l'endpoint d'upload, ainsi qu'une liste blanche des types de fichiers autorisés (polices web, images) excluant explicitement les extensions exécutables.

La co-occurrence de CVE-2026-56290 et CVE-2026-48908 (faille identique dans SP Page Builder, CVSS 10.0, CISA KEV le même jour) révèle un pattern systémique dans l'écosystème des CMS open source : les fonctionnalités d'upload de ressources dans les extensions visuelles sont rarement soumises à des revues de sécurité approfondies lors de leur développement initial, et la protection par token CSRF seul est considérée comme suffisante — alors qu'elle ne l'est pas. Cette tendance devrait inciter les équipes de développement d'extensions Joomla, WordPress et Drupal à auditer systématiquement toutes leurs fonctionnalités d'upload, en appliquant le principe de moindre privilège et en validant systématiquement l'identité et les droits de l'utilisateur côté serveur avant tout traitement de fichier.

Selon les données disponibles auprès du CCB Belgique et des analyses de mySites.guru, la faille est activement exploitée dans le cadre de campagnes opportunistes à grande échelle ciblant les sites Joomla exposés sur Internet. Des scans automatisés cherchent à identifier les installations vulnérables, et des tentatives d'exploitation sont observées dans les logs de pare-feu applicatifs de nombreuses organisations. La combinaison d'un score CVSS 10.0, d'une exploitation triviale et sans authentification, et de la présence dans le CISA KEV place CVE-2026-56290 parmi les vulnérabilités les plus urgentes à traiter dans les 48 heures.

Impact et exposition

CVE-2026-56290 affecte toutes les installations de Page Builder CK pour Joomla dans les versions antérieures à 3.6.0. L'exploitation est accessible à tout acteur disposant d'un navigateur ou d'un client HTTP basique : aucun compte, aucune connaissance préalable de la cible, aucun outillage spécialisé n'est requis. Le vecteur réseau et l'absence d'interaction utilisateur en font une cible idéale pour les campagnes automatisées de type mass-exploitation, où des milliers de sites peuvent être testés et compromis simultanément.

Les conséquences d'une exploitation réussie incluent : installation d'un web shell PHP permettant l'exécution de commandes système arbitraires avec les droits du serveur web (www-data, apache, nginx), exfiltration de la base de données Joomla et de toutes les données utilisateurs, modification du contenu des pages (défiguration), installation de backdoors persistantes, chiffrement des fichiers par un ransomware, et utilisation du serveur comme pivot vers les systèmes du réseau interne de l'organisation hébergeant le site.

Le répertoire /media/com_pagebuilderck/gfonts/ est normalement destiné à stocker des polices web téléchargées depuis Google Fonts. Sa présence dans le répertoire racine web accessible publiquement signifie que tout fichier PHP y étant déposé est directement exécutable via une requête HTTP, sans aucune restriction de serveur par défaut. Cette caractéristique amplifiée par la nature publique du répertoire en fait un vecteur d'attaque particulièrement efficace.

Les indicateurs de compromission (IoC) confirmés incluent : fichiers PHP inattendus dans /media/com_pagebuilderck/gfonts/ (notamment bhup.php et des variantes), requêtes POST anormales dans les logs web vers les endpoints d'upload de Page Builder CK, pics de trafic anormaux depuis des IP non habituelles vers des URLs en .php dans le répertoire média, et créations de comptes administrateurs Joomla non sollicitées dans les logs d'audit.

Recommandations immédiates

  • Mettre à jour Page Builder CK vers la version 3.6.0 ou ultérieure — advisory CCB Belgium CVE-2026-56290, joomlack.fr Security Update juin 2026
  • Auditer immédiatement le répertoire /media/com_pagebuilderck/gfonts/ à la recherche de fichiers PHP : find /var/www/html/media/com_pagebuilderck/ -name "*.php"
  • Si la mise à jour est impossible : désactiver l'extension dans l'administration Joomla ou bloquer l'accès aux endpoints d'upload via WAF/ModSecurity
  • Ajouter une règle de serveur web interdisant l'exécution de PHP dans le répertoire /media/com_pagebuilderck/ (directive Apache php_flag engine off ou équivalent Nginx)
  • Analyser les logs d'accès web des 30 derniers jours pour détecter des POST vers les endpoints Page Builder CK et des GET vers des fichiers .php dans le répertoire média
  • IoC réseau : surveiller et bloquer les IP sources de requêtes POST répétées vers les endpoints d'upload de l'extension

⚠️ Urgence

Web shells actifs confirmés in-the-wild dans le répertoire /media/com_pagebuilderck/gfonts/. CISA KEV ajout du 7 juillet 2026. Si votre site utilise Page Builder CK en version antérieure à 3.6.0, procédez immédiatement à l'audit du répertoire gfonts/ et à la mise à jour. Considérez toute installation non patchée comme potentiellement compromise.

Comment savoir si je suis vulnérable ?

Vérifiez la version de Page Builder CK dans l'administration Joomla (Extensions → Gérer → Mises à jour). Si la version est inférieure à 3.6.0, vous êtes vulnérable. Pour détecter une compromission existante, exécutez la commande suivante sur votre serveur : find /var/www/html/media/com_pagebuilderck/ -name "*.php" -ls. Tout fichier PHP trouvé dans ce répertoire est suspect et doit être analysé immédiatement. Vérifiez également les logs Apache/Nginx avec : grep "com_pagebuilderck" /var/log/apache2/access.log | grep "POST".

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.

Demander un audit