Ir para conteúdo

Alerta de Vulnerabilidade - SP Page Builder para Joomla

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
Joomla
ECOSSISTEMA
Joomla
CVSS v3.1 — Resumo Técnico
Vetor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
Vetor de Ataque Rede Exploração remota via rede
Complexidade Baixa Fácil de explorar
Privilégios Nenhum Sem autenticação
Interação Nenhuma Não requer intervenção do utilizador
Impacto
(C/I/A)
Alta / Alta / Nenhum Comprometimento elevado da confidencialidade e integridade 
Impacto lateral Inalterado O impacto fica confinado ao componente vulnerável
Resumo Vulnerabilidade crítica com exploração remota, sem autenticação e sem interação do utilizador, podendo comprometer gravemente a confidencialidade e integridade do sistema. 

Descrição
Vulnerabilidade crítica CVE-2026-48908/EUVD-2026-38110 de controlo de acesso impróprio na extensão SP Page Builder (com_sppagebuilder), desenvolvida pela JoomShaper, para Joomla [1][2]. A vulnerabilidade encontra-se no controlador 'asset.uploadCustomIcon', que não implementa verificação de autenticação, autorização nem validação do tipo de ficheiro.

As versões afetadas são [2]:
- SP Page Builder 1.0.0 a 6.6.1 (inclusive)

A versão corrigida é a 6.6.2, lançada a 14 de junho de 2026 [1].

Impacto
Esta vulnerabilidade, que se encontra a ser ativamente explorada, permite a um atacante remoto e não autenticado enviar um pedido HTTP POST para o endpoint 'index.php?option=com_sppagebuilder&task=asset.uploadCustomIcon', carregando um ficheiro ZIP cujos ficheiros extraídos são colocados em '/media/com_sppagebuilder/assets/iconfont/'. Em servidores que permitam a execução de PHP a partir desse diretório (configuração comum em Apache e LiteSpeed), este vetor resulta em execução remota de código (RCE) e comprometimento total da instalação Joomla [4][5]. Existe prova de conceito disponível publicamente [5].

Resolução
Recomenda-se a atualização imediata da extensão SP Page Builder para a versão 6.6.2 ou superior [3].
Caso não seja possível atualizar de imediato, recomenda-se:
  • Bloquear o acesso ao endpoint 'task=asset.uploadCustomIcon' ao nível do servidor web ou WAF (Web Application Firewall);
  • Configurar o servidor web para impedir a execução de PHP nos diretórios '/media/', '/images/' e '/tmp/'.
Para identificar possíveis comprometimentos, recomenda-se inspecionar:
  • O diretório '/media/com_sppagebuilder/assets/iconfont/' para identificar ficheiros PHP ou arquivos ZIP com nomes aleatórios;
  • Os logs de acesso do servidor web para identificar pedidos POST a 'task=asset.uploadCustomIcon';
  • As contas de administrador Joomla para identificar contas não reconhecidas.
Referências
[1] - https://nvd.nist.gov/vuln/detail/CVE-2026-48908
[2] - https://euvd.enisa.europa.eu/vulnerability/CVE-2026-48908
[3] - https://www.joomshaper.com/forum/question/45152
[4] - https://censys.com/advisory/cve-2026-48908/
[5] - https://mysites.guru/blog/sp-page-builder-zero-day-uploadcustomicon-rce/
Última atualização em 07-09-2022