Deux failles critiques exploitées touchent des extensions Joomla
SP Page Builder et Page Builder CK sont concernés. Votre site est-il vulnérable ? Vérifiez les versions affectées et les correctifs disponibles.
Publié le par Emmanuel LASTRAMis à jour le 1 min de lecture
Deux extensions populaires de création de pages pour Joomla doivent être mises à jour sans attendre. Les vulnérabilités CVE-2026-48908 et CVE-2026-56290 affectent respectivement SP Page Builder de JoomShaper jusqu’à la version 6.6.1 et Page Builder CK de Joomlack dans ses versions vulnérables, dont la branche courante jusqu’à la version 3.5.10.
Le point sensible est le même dans les deux cas : un attaquant non authentifié peut téléverser des fichiers exécutables et obtenir une exécution de code à distance sur le serveur. Les deux failles sont notées 10 sur 10 selon CVSS 4.0.
Les administrateurs concernés doivent installer SP Page Builder 6.6.2 ou une version ultérieure. Pour Page Builder CK, Joomlack renvoie vers la version 3.6.0 pour la branche courante, ainsi que vers les paquets correctifs 3.1.1 pour Joomla 3 et 3.4.10 pour Joomla 4.
La CISA a ajouté ces deux vulnérabilités le 7 juillet 2026 à son catalogue des failles exploitées activement, ce qui confirme que le sujet dépasse le simple bulletin de correction. Après la faille critique corrigée en juin dans Joomla Content Editor, ce nouvel épisode rappelle surtout l’importance d’inventorier les extensions Joomla installées, y compris celles qui servent à construire les pages et restent parfois longtemps en place sans être auditées.