ثغرتان بتصنيف CVSS 10.0 في أكثر أدوات بناء صفحات Joomla انتشارًا
يبقى Joomla واحدًا من أكثر أنظمة إدارة المحتوى انتشارًا خلف مواقع الشركات الجزائرية الصغيرة وصفحات الخدمات المهنية والتركيبات البديلة لـ WordPress التي لا تزال العديد من وكالات الويب المحلية تتولى صيانتها لعملائها. واثنتان من أشهر أدوات بناء الصفحات بالسحب والإفلات فيه تحملان الآن أسوأ تصنيف خطورة ممكن — وكلتاهما تُستغَلان في هذه اللحظة.
الثغرة الأولى، CVE-2026-48908 في SP Page Builder من JoomShaper، نُشرت في 20 يونيو 2026 وصُنّفت 10.0 وفق CVSS 4.0 (9.8 وفق CVSS 3.1). تصنّفها National Vulnerability Database ضمن CWE-434، أي “الرفع غير المقيّد لملف من نوع خطير”، وتؤثر على جميع الإصدارات من 1.0.0 إلى 6.6.1 وقد أُصلحت في 6.6.2. تتيح الثغرة “للمستخدمين غير المصادَق عليهم رفع ملفات عشوائية، بما يؤدي إلى رفع وتنفيذ شيفرة PHP” — وهو التعريف الحرفي لتنفيذ الشيفرة عن بُعد.
أما الثانية، CVE-2026-56290 في Page Builder CK من Joomlack، فقد أُفصح عنها في 29 يونيو 2026 وصُنّفت أيضًا CVSS 10.0. وهي تؤثر على إضافة com_pagebuilderck حتى الإصدار 3.5.10 ضمنًا على الخط الحالي، وأصدر المطوّر الإصلاحات في 27 يونيو 2026: الإصدار 3.6.0 لـ Joomla الحالي، إضافة إلى النسختين المُرجَعتين 3.1.1 لـ Joomla 3 و3.4.10 لـ Joomla 4. وقد أُدرجت الثغرتان في كتالوج CISA Known Exploited Vulnerabilities في 7 يوليو 2026 مع موعد نهائي فيدرالي للمعالجة في 10 يوليو 2026 — دليل على أن هذه الثغرات ليست نظرية.
لماذا تقع الشركات والوكالات الجزائرية في دائرة الخطر
تُعد ثغرة RCE دون مصادقة أخطر فئة من ثغرات الويب لأنها تزيل كل حاجز يضطر المهاجم عادةً إلى تجاوزه. لا كلمة مرور يُخمّنها، ولا رسالة تصيّد يرسلها، ولا جلسة مسؤول يخطفها. يوجّه المهاجم عن بُعد ماسحًا آليًا نحو نطاق من عناوين IP، فيعثر على أي موقع مثبَّت فيه المكوّن المصاب، ويرفع shell. واقتصاد الهجوم يفضّل المسح الشامل، وهذا بالضبط سبب إصابة المواقع الصغيرة التي لا يوجد لديها فريق أمني مخصّص بالسهولة نفسها التي تُصاب بها المواقع الكبيرة.
المؤسسات التي تستخدم Joomla في الجزائر معرّضة بطريقة محدّدة: أدوات بناء الصفحات مكوّنات من نوع “ثبّتها مرة وانسها للأبد”. تبني وكالة ويب موقعًا تعريفيًا لعميل عام 2023، وتسلّم المفاتيح، ثم لا يمسّ أحد قائمة الإضافات مجددًا. يستمر الموقع في العمل، فلا يلاحظ أحد أن SP Page Builder متأخر ثلاث سنوات. وهذه الفجوة في الصيانة — لا أي ضعف خاص بالجزائر — هي ما يحوّل ثغرة أُصلحت في يونيو إلى موقع مخترَق في يوليو. والمعالجة في المتناول تمامًا: الإصدارات المُصلحة مجانية، وخطوات التدقيق أدناه تستغرق من مسؤول كفء بعد ظهيرة واحدة لكل موقع.
إعلان
كيف يعمل الهجوم فعليًا
بالنسبة لـ SP Page Builder، أرجع باحثو الأمن في mySites.guru الثغرة إلى مهمة asset.uploadCustomIcon، المتاحة عبر index.php?option=com_sppagebuilder&task=asset.uploadCustomIcon. تعالج نقطة النهاية رفع الملفات دون أي فحص للمصادقة ودون التحقق من نوع الملف من جهة الخادم، بحيث “يمكن للمهاجم رفع ملف .php، والوصول إليه، فينفّذه الخادم”. ثم تُنشئ الحمولات المرصودة حسابات Super Administrator مخفية تستخدم عناوين بريد تنتهي بـ @secure.local وتزرع أبوابًا خلفية من نوع مدير ملفات PHP — عادةً ملفات users.php داخل مجلدات /media/ — لتصمد أمام التصحيح اللاحق.
ويتبع Page Builder CK النمط نفسه. فمعالج الرفع فيه “لم يطلب” مصادقة ولا تفويضًا؛ وكان الحاجز الوحيد هو رمز CSRF، وكما يلاحظ الباحثون فإن هذا الرمز “ليس تسجيل دخول” لأن Joomla يطبعه في صفحاته العامة نفسها، فيستطيع أي زائر الحصول عليه بطلب واحد. ومن دون قائمة سماح تقصر الرفع على الصور ودون حظر ملفات PHP، زرع المهاجمون web shell باسم bhup.php في /media/com_pagebuilderck/gfonts/ — معالج رفع فعّال “ينفّذ كل ما يرسله المهاجم عبر POST” — خلال ساعات من نشر التصحيح. وقد أصدر مركز الأمن السيبراني البلجيكي تحذيرًا مماثلًا يحثّ على التصحيح الفوري.
ما الذي ينبغي على المؤسسات الجزائرية التي تستخدم Joomla فعله
عامِل أي موقع Joomla مثبَّت فيه أي من الأداتين على أنه مُخترَق محتمَل حتى يثبت العكس. اتبع هذه الخطوات الأربع بالترتيب — فالتصحيح وحده لا يكفي إذا كان shell قد زُرع بالفعل.
1. حدّد مدى تعرّضك عبر كل موقع تديره
ابدأ بالجرد. لكل تركيب Joomla، سجّل الدخول إلى لوحة الإدارة وافتح Extensions ← Manage ← Manage، ثم رشّح عن “SP Page Builder” و”Page Builder CK” وسجّل الإصدار الدقيق. وعلى الوكالات التي تدير مواقع عملاء متعددة كتابة سكربت يفحص قاعدة البيانات (جدول #__extensions) بدلًا من التنقل عبر عشرات اللوحات. أشِّر على كل ما يكون فيه SP Page Builder عند 6.6.1 أو دونه، أو Page Builder CK عند 3.5.10 أو دونه (3.1.0 على Joomla 3، و3.4.9 على Joomla 4). لا تفترض أن موقعًا تعريفيًا منخفض الزيارات آمن — فالماسحات الشاملة لا تفرّق بين علامة وطنية ومعرض من خمس صفحات.
2. طبّق تصحيح المطوّر فورًا — لا تنتظر نافذة صيانة
حدّث SP Page Builder إلى 6.6.2 أو أحدث، وPage Builder CK إلى 3.6.0 (أو النسختين المُرجَعتين 3.1.1 / 3.4.10 بحسب إصدارك الرئيسي من Joomla). كلاهما إصدارات رسمية من المطوّر نُشرت أواخر يونيو 2026، فتُثبَّت عبر أداة التحديث المعتادة في Joomla. وبما أن الاستغلال آلي ومستمر، فإن موقف “لنجدولها لعطلة الأسبوع” هو الخيار الخاطئ هنا — إذ يمكن العثور على نقطة نهاية بتصنيف CVSS 10.0 غير مُصلحة وزرع shell فيها خلال ساعات. وإن تعذّر عليك فعلًا تصحيح موقع اليوم، فأخرِجه من الاتصال أو احجب نقاط النهاية المصابة على مستوى خادم الويب أو WAF كحل مؤقت، لا كإصلاح دائم.
3. ابحث عن الأبواب الخلفية وحسابات المسؤولين المزوّرة
يغلق التصحيح الباب لكنه لا يفعل شيئًا حيال متسلّل موجود بالداخل أصلًا. افتح Users ← Manage واحذف أي حساب Super Administrator لا تعرفه، مع انتباه خاص للعناوين المنتهية بـ @secure.local — وهي مؤشر معروف من حملة SP Page Builder. ثم فتّش نظام الملفات عن shells مزروعة: ابحث عن ملفات .php غير متوقعة في مجلدات /media/ الفرعية، وتحديدًا ملفات users.php والمعالج bhup.php المرصود في /media/com_pagebuilderck/gfonts/. قارن طوابع تعديل الملفات بآخر نشر مشروع لك؛ وكل ما هو أحدث من آخر تغيير حقيقي يستحق التدقيق. واحذف كل web shell تجده.
4. جدّد بيانات الاعتماد ثم صلّب المواقع وراقبها
بعد أن تتيقن من نظافة الموقع، جدّد جميع كلمات مرور المسؤولين وبيانات اعتماد قاعدة البيانات وأي مفاتيح API أو أسرار SMTP مخزّنة في إعدادات الموقع — وافترض أنها قُرئت. ومستقبلًا، ضع Joomla وكل إضافة على وتيرة تحديث تلتزم بها فعلًا، وقيّد تنفيذ PHP داخل مجلدات الرفع و/media/ على مستوى خادم الويب، وفعّل تسجيلًا يمكنك مراجعته. واشترك في تدفقات الأمن الخاصة بالمطوّرين وفي قائمة تحذيرات CERT وطني أو قطاعي كي يصلك التصحيح الحرج التالي خلال أيام لا أشهر.
الصورة الأوسع: الإضافات هي سطح هجومك الحقيقي
الدرس غير المريح من CVE-2026-48908 وCVE-2026-56290 هو أن نواة نظام إدارة المحتوى لم تكن يومًا المشكلة — فكلتا الثغرتين تقيمان في إضافات طرف ثالث تثبّتها آلاف المواقع ثم تتجاهلها. ولم يكتب فريق أمن Joomla هذه الشيفرة، ولا يمكنه تصحيحها، ولا إجبار أحد على التحديث. وبالنسبة للشركات الجزائرية والوكالات التي تخدمها، يعيد هذا تعريف معنى “تأمين الموقع”: فهو ليس تصليبًا لمرة واحدة عند الإطلاق، بل التزام دائم بمتابعة كل إضافة وقالب وأداة بناء ثبّتها يومًا ما. المواقع التي ستُخترَق في الأسابيع القادمة لن تكون تلك التي افتقرت إلى جدار حماية — بل تلك التي تجاوزت فيها أداة بناء صفحات مثبّتة قبل سنوات آخر إصدار آمن لها بهدوء. كوّن الجرد، وتحكّم في وتيرة التحديث، وعندها تصبح هذه الفئة من الحوادث بأكملها تصحيحًا طبّقته في وقته بدلًا من اختراق تكتشفه بعد فوات الأوان.
الأسئلة الشائعة
ما الذي تتيح CVE-2026-48908 وCVE-2026-56290 للمهاجم فعله بالضبط؟
كلتاهما ثغرتا رفع ملفات دون مصادقة تؤديان إلى تنفيذ شيفرة عن بُعد. يستطيع زائر مجهول — دون تسجيل دخول ودون كلمة مرور — رفع web shell بلغة PHP إلى موقع Joomla مصاب ثم تشغيل شيفرة عشوائية على الخادم. وفي الهجمات المرصودة، عنى ذلك إنشاء حسابات Super Administrator مخفية (غالبًا بعناوين @secure.local)، وزرع أبواب خلفية من نوع مدير ملفات، والسيطرة الكاملة على الموقع. وتحمل كلتاهما أعلى تصنيف CVSS البالغ 10.0.
ما الإصدارات الآمنة، وكيف أحدّث؟
بالنسبة لـ SP Page Builder، حدّث إلى 6.6.2 أو أحدث (كل ما بين 1.0.0 و6.6.1 مصاب). وبالنسبة لـ Page Builder CK، حدّث إلى 3.6.0 على Joomla الحالي، أو 3.1.1 على Joomla 3، أو 3.4.10 على Joomla 4 (جميعها نُشرت في 27 يونيو 2026). وكلاهما يُثبَّت عبر أداة التحديث المدمجة في Joomla ضمن Extensions ← Manage ← Update. وبما أن الاستغلال آلي، طبّق التصحيح فورًا بدلًا من انتظار نافذة صيانة.
طبّقت التصحيح — هل أنا آمن الآن أم يجب أن أتحقق من وجود اختراق؟
يوقف التصحيح أي استغلال جديد لكنه لا يفعل شيئًا حيال مهاجم دخل قبل تحديثك. عليك التدقيق مع ذلك: احذف حسابات Super Administrator غير المعروفة (انتبه لعناوين @secure.local)، وفتّش مجلدات /media/ عن ملفات .php مشبوهة مثل users.php أو bhup.php، وقارن طوابع الملفات بآخر نشر مشروع لك، وجدّد كل بيانات اعتماد الإدارة وقاعدة البيانات وAPI بعد تأكيد نظافة الموقع.
المصادر والقراءات الإضافية
- CVE-2026-48908 Detail — NVD (National Vulnerability Database)
- SP Page Builder Zero-Day RCE Fixed in 6.6.2 — mySites.guru
- PageBuilder CK Unauthenticated File Upload RCE (CVE-2026-56290) — mySites.guru
- Warning: Critical Unauthenticated Arbitrary File Upload (CVE-2026-56290) — Centre for Cybersecurity Belgium
- Two Joomla Page Builder CVSS 10.0 Vulnerabilities Added to CISA KEV — Threat-Modeling.com














