26 Giugno 2026 12:50    Alert

Joomla SP Page Builder CVE-2026-48908: upload non autenticato e RCE con CVSS 10 sfruttati in rete

Quasi 200.000 siti potenzialmente esposti per una falla con il punteggio massimo: la CVE-2026-48908 nel plugin SP Page Builder per il CMS Joomla! è sfruttata attivamente in rete. La vulnerabilità, di tipo remote code execution con CVSS pari a 10.0, deriva da controlli di accesso inadeguati sulla funzionalità di caricamento di icone personalizzate: chiamando senza alcuna autenticazione l'endpoint /index.php?option=com_sppagebuilder&task=asset.uploadCustomIcon, e in assenza di qualsiasi validazione sul tipo di file, un attaccante remoto può caricare uno script PHP in una directory servita dal web ed eseguire codice arbitrario sul server.

La società di ricerca Censys, che ha pubblicato l'advisory il 24 giugno 2026, stima in circa 194.000 le proprietà web che espongono il componente SP Page Builder, mentre il codice di exploit è già disponibile pubblicamente su GitHub. Lo schema osservato sui siti compromessi è ricorrente: una POST non autenticata verso asset.uploadCustomIcon, il deposito di una webshell PHP nel percorso /media/com_sppagebuilder/assets/iconfont/ e la creazione di account Super User fraudolenti riconoscibili dall'indirizzo e-mail con dominio @secure.local. È la seconda estensione critica di Joomla che incrociamo in due settimane: nel nostro bollettino precedente avevamo già trattato la CVE-2026-48907 del plugin Joomla Content Editor (JCE), anch'essa una RCE non autenticata via caricamento di file, a riprova di un ecosistema di estensioni Joomla sotto pressione e bersaglio di attacchi automatizzati. Il vendor ha corretto il difetto nella versione 6.6.2, che vincola l'upload delle icone a una sessione autenticata, ai permessi di amministrazione e a un token anti-CSRF valido.

È esposto chiunque gestisca un sito Joomla! con SP Page Builder installato e non aggiornato, scenario molto comune tra portali di PA e PMI italiane che adottano Joomla come CMS. Data la natura non autenticata e l'automazione della campagna, il solo aggiornamento non basta dove c'è stata compromissione: vanno cercati gli account Super Administrator sconosciuti, in particolare con dominio @secure.local, e i file .php non riconosciuti nei percorsi delle icone, isolando e bonificando i sistemi interessati.

  • Versioni affette: SP Page Builder per Joomla, versioni precedenti alla 6.6.2 (dalla 1.0.0 alla 6.6.1 inclusa).
  • Azione raccomandata: aggiornare SP Page Builder alla 6.6.2 o successiva con urgenza; verificare la presenza di account amministrativi non riconosciuti (soprattutto con e-mail @secure.local) e di webshell nei percorsi delle icone, e procedere alla bonifica in caso di riscontro.

Fonti: ACN, Censys, mySites.guru, NVD