02
Jul 2026
Alerta de Vulnerabilidade - SP Page Builder para Joomla
TIPO
Vulnerabilidade
SISTEMAS AFETADOS
Joomla
ECOSSISTEMA
Joomla
Descrição
As versões afetadas são [2]:
- SP Page Builder 1.0.0 a 6.6.1 (inclusive)
A versão corrigida é a 6.6.2, lançada a 14 de junho de 2026 [1].
Impacto
Esta vulnerabilidade, que se encontra a ser ativamente explorada, permite a um atacante remoto e não autenticado enviar um pedido HTTP POST para o endpoint 'index.php?option=com_sppagebuilder&task=asset.uploadCustomIcon', carregando um ficheiro ZIP cujos ficheiros extraídos são colocados em '/media/com_sppagebuilder/assets/iconfont/'. Em servidores que permitam a execução de PHP a partir desse diretório (configuração comum em Apache e LiteSpeed), este vetor resulta em execução remota de código (RCE) e comprometimento total da instalação Joomla [4][5]. Existe prova de conceito disponível publicamente [5].Resolução
Caso não seja possível atualizar de imediato, recomenda-se:
- Bloquear o acesso ao endpoint 'task=asset.uploadCustomIcon' ao nível do servidor web ou WAF (Web Application Firewall);
- Configurar o servidor web para impedir a execução de PHP nos diretórios '/media/', '/images/' e '/tmp/'.
- O diretório '/media/com_sppagebuilder/assets/iconfont/' para identificar ficheiros PHP ou arquivos ZIP com nomes aleatórios;
- Os logs de acesso do servidor web para identificar pedidos POST a 'task=asset.uploadCustomIcon';
- As contas de administrador Joomla para identificar contas não reconhecidas.
Referências
[1] - https://nvd.nist.gov/vuln/detail/CVE-2026-48908[2] - https://euvd.enisa.europa.eu/vulnerability/CVE-2026-48908
[3] - https://www.joomshaper.com/forum/question/45152
[4] - https://censys.com/advisory/cve-2026-48908/
[5] - https://mysites.guru/blog/sp-page-builder-zero-day-uploadcustomicon-rce/
