Deux failles CVSS 10.0 dans les constructeurs Joomla les plus répandus
Joomla reste l’un des systèmes de gestion de contenu les plus déployés derrière les sites de PME algériennes, les pages de services professionnels et les installations « alternative à WordPress » que de nombreuses agences web locales maintiennent encore pour leurs clients. Deux de ses constructeurs de pages par glisser-déposer les plus populaires portent désormais la pire note de gravité possible — et les deux sont exploités en ce moment même.
La première, CVE-2026-48908 dans SP Page Builder de JoomShaper, a été publiée le 20 juin 2026 et notée 10.0 sous CVSS 4.0 (9.8 sous CVSS 3.1). La National Vulnerability Database la classe comme CWE-434, « téléversement sans restriction de fichier de type dangereux », affectant toutes les versions de 1.0.0 à 6.6.1 et corrigée dans la 6.6.2. La faille permet à des « utilisateurs non authentifiés de téléverser des fichiers arbitraires, aboutissant au téléversement et à l’exécution de code PHP » — la définition même de l’exécution de code à distance.
La seconde, CVE-2026-56290 dans Page Builder CK de Joomlack, a été divulguée le 29 juin 2026 et également notée CVSS 10.0. Elle affecte l’extension com_pagebuilderck jusqu’à la version 3.5.10 incluse sur la branche actuelle, et l’éditeur a livré les correctifs le 27 juin 2026 : la version 3.6.0 pour Joomla actuel, plus les rétroportages 3.1.1 pour Joomla 3 et 3.4.10 pour Joomla 4. Les deux vulnérabilités ont été inscrites au catalogue CISA Known Exploited Vulnerabilities le 7 juillet 2026, avec une échéance de remédiation fédérale au 10 juillet 2026 — le signe que ces failles ne sont pas théoriques.
Pourquoi les PME et agences algériennes sont dans la zone de danger
Une RCE non authentifiée est la classe de vulnérabilité web la plus dangereuse, car elle supprime toutes les barrières qu’un attaquant doit normalement franchir. Aucun mot de passe à deviner, aucun e-mail de phishing à envoyer, aucune session admin à détourner. Un attaquant distant pointe un scanner automatisé vers une plage d’adresses IP, trouve n’importe quel site où le composant vulnérable est installé, et téléverse un shell. L’économie de l’attaque favorise le balayage de masse, ce qui explique précisément pourquoi les petits sites sans équipe de sécurité dédiée sont touchés aussi facilement que les grands.
Les organisations qui utilisent Joomla en Algérie sont exposées d’une manière précise : les constructeurs de pages sont des composants « installés une fois, oubliés pour toujours ». Une agence web construit un site vitrine pour un client en 2023, remet les clés, et personne ne touche plus jamais à la liste des extensions. Le site continue de fonctionner, donc personne ne remarque que SP Page Builder a trois ans de retard. Ce déficit de maintenance — et non une faiblesse propre à l’Algérie — est ce qui transforme une faille corrigée en juin en un site compromis en juillet. La remédiation est entièrement à portée de main : les versions corrigées sont gratuites, et les étapes d’audit ci-dessous prennent à un administrateur compétent un après-midi par site.
Publicité
Comment l’attaque fonctionne réellement
Pour SP Page Builder, les chercheurs en sécurité de mySites.guru ont attribué la faille à la tâche asset.uploadCustomIcon, accessible via index.php?option=com_sppagebuilder&task=asset.uploadCustomIcon. Le point d’accès traite les téléversements de fichiers sans aucun contrôle d’authentification ni validation du type de fichier côté serveur, de sorte qu’« un attaquant pouvait téléverser un fichier .php, y accéder, et le serveur l’exécutait ». Les charges observées créent ensuite des comptes de Super Administrateur cachés utilisant des adresses e-mail en @secure.local et déposent des portes dérobées de type gestionnaire de fichiers PHP — généralement des fichiers users.php dans les répertoires /media/ — pour survivre au correctif éventuel.
Page Builder CK suit le même schéma. Son gestionnaire de téléversement « ne demandait ni » authentification ni autorisation ; la seule barrière était un jeton CSRF, et comme le notent les chercheurs, ce jeton « n’est pas une connexion » parce que Joomla l’imprime dans ses propres pages publiques, donc n’importe quel visiteur peut en récupérer un en une seule requête. Sans liste blanche restreignant les téléversements aux images et sans blocage des fichiers PHP, les attaquants ont déposé un web shell nommé bhup.php dans /media/com_pagebuilderck/gfonts/ — un gestionnaire de téléversement fonctionnel « qui exécute tout ce qu’un attaquant lui envoie en POST » — quelques heures après la publication du correctif. Le Centre pour la cybersécurité Belgique a émis un avis correspondant exhortant à un correctif immédiat.
Ce que les organisations algériennes utilisant Joomla devraient faire
Considérez tout site Joomla équipé de l’un ou l’autre constructeur comme potentiellement compromis jusqu’à preuve du contraire. Suivez ces quatre étapes dans l’ordre — le seul correctif ne suffit pas si un shell a déjà été planté.
1. Identifiez votre exposition sur chaque site que vous gérez
Faites d’abord l’inventaire. Pour chaque installation Joomla, connectez-vous au panneau d’administration, ouvrez Extensions → Gérer → Gérer, filtrez sur « SP Page Builder » et « Page Builder CK » et notez la version exacte. Les agences gérant plusieurs sites clients devraient scripter cette vérification sur la base de données (table #__extensions) plutôt que de parcourir des dizaines de tableaux de bord. Signalez tout ce où SP Page Builder est à 6.6.1 ou en dessous, ou Page Builder CK à 3.5.10 ou en dessous (3.1.0 sur Joomla 3, 3.4.9 sur Joomla 4). Ne supposez pas qu’un site vitrine à faible trafic est en sécurité — les scanners de masse ne distinguent pas une marque nationale d’un portfolio de cinq pages.
2. Appliquez le correctif de l’éditeur immédiatement — n’attendez pas une fenêtre de maintenance
Mettez à jour SP Page Builder vers la 6.6.2 ou une version ultérieure, et Page Builder CK vers la 3.6.0 (ou les rétroportages 3.1.1 / 3.4.10 correspondant à votre version majeure de Joomla). Les deux sont des versions officielles de l’éditeur publiées fin juin 2026, elles s’installent donc via le programme de mise à jour normal de Joomla. Comme l’exploitation est automatisée et continue, la posture habituelle du « on le planifie pour le week-end » est le mauvais choix ici — un point d’accès CVSS 10.0 non corrigé peut être trouvé et « shellé » en quelques heures. Si vous ne pouvez vraiment pas corriger un site aujourd’hui, mettez-le hors ligne ou bloquez les points d’accès vulnérables au niveau du serveur web ou du WAF comme solution provisoire, pas comme correctif permanent.
3. Recherchez les portes dérobées et les comptes administrateurs frauduleux
Le correctif ferme la porte mais ne fait rien contre un intrus déjà à l’intérieur. Ouvrez Utilisateurs → Gérer et supprimez tout compte de Super Administrateur que vous ne reconnaissez pas, en prêtant une attention particulière aux adresses se terminant par @secure.local — un indicateur connu de la campagne SP Page Builder. Puis fouillez le système de fichiers à la recherche de shells plantés : cherchez des fichiers .php inattendus dans les sous-répertoires /media/, en particulier des fichiers users.php et le gestionnaire bhup.php vu dans /media/com_pagebuilderck/gfonts/. Comparez les horodatages de modification des fichiers avec votre dernier déploiement légitime ; tout ce qui est plus récent que votre dernière modification réelle mérite un examen. Supprimez chaque web shell que vous trouvez.
4. Renouvelez les identifiants, puis durcissez et surveillez
Une fois convaincu que le site est propre, renouvelez tous les mots de passe administrateur, les identifiants de base de données et toute clé API ou secret SMTP stocké dans la configuration du site — supposez qu’ils ont été lus. À l’avenir, placez Joomla et chaque extension sur un rythme de mise à jour que vous suivez réellement, restreignez l’exécution PHP dans les répertoires de téléversement et /media/ au niveau du serveur web, et activez une journalisation que vous pouvez examiner. Abonnez-vous aux flux de sécurité des éditeurs et à une liste d’avis d’un CERT national ou sectoriel afin que le prochain correctif critique vous parvienne en quelques jours, pas en quelques mois.
La vue d’ensemble : les extensions sont votre véritable surface d’attaque
La leçon inconfortable de CVE-2026-48908 et CVE-2026-56290, c’est que le cœur du CMS n’a jamais été le problème — les deux failles vivent dans des extensions tierces que des milliers de sites installent puis ignorent. L’équipe de sécurité de Joomla n’a pas écrit ce code, ne peut pas le corriger et ne peut forcer personne à se mettre à jour. Pour les entreprises algériennes et les agences qui les servent, cela redéfinit ce que « sécuriser le site » signifie : ce n’est pas un durcissement ponctuel au lancement, mais un engagement permanent à suivre chaque plugin, thème et constructeur que vous avez un jour installé. Les sites qui seront compromis dans les semaines à venir ne seront pas ceux qui manquaient de pare-feu — ce seront ceux où un constructeur de pages installé il y a des années a discrètement dépassé sa dernière version sûre. Constituez l’inventaire, maîtrisez le rythme de mise à jour, et toute cette catégorie d’incident devient un correctif appliqué à temps plutôt qu’une brèche découverte après coup.
Questions Fréquemment Posées
Que permettent exactement de faire CVE-2026-48908 et CVE-2026-56290 à un attaquant ?
Ce sont deux failles de téléversement de fichiers non authentifié menant à l’exécution de code à distance. Un visiteur anonyme — sans connexion, sans mot de passe — peut téléverser un web shell PHP sur un site Joomla vulnérable puis exécuter du code arbitraire sur le serveur. Dans les attaques observées, cela s’est traduit par des comptes de Super Administrateur cachés (souvent avec des e-mails @secure.local), des portes dérobées de type gestionnaire de fichiers, et une prise de contrôle totale du site. Les deux portent la note maximale CVSS de 10.0.
Quelles versions sont sûres, et comment mettre à jour ?
Pour SP Page Builder, passez à la 6.6.2 ou une version ultérieure (tout de 1.0.0 à 6.6.1 est vulnérable). Pour Page Builder CK, passez à la 3.6.0 sur Joomla actuel, à la 3.1.1 sur Joomla 3, ou à la 3.4.10 sur Joomla 4 (toutes publiées le 27 juin 2026). Les deux s’installent via le programme de mise à jour intégré de Joomla sous Extensions → Gérer → Mettre à jour. L’exploitation étant automatisée, appliquez le correctif immédiatement plutôt que d’attendre une fenêtre de maintenance.
J’ai appliqué le correctif — suis-je en sécurité maintenant, ou dois-je encore vérifier s’il y a eu une brèche ?
Le correctif stoppe toute nouvelle exploitation mais ne fait rien contre un attaquant entré avant votre mise à jour. Vous devez tout de même auditer : supprimez les comptes de Super Administrateur non reconnus (attention aux adresses @secure.local), fouillez les répertoires /media/ à la recherche de fichiers .php suspects comme users.php ou bhup.php, comparez les horodatages des fichiers avec votre dernier déploiement légitime, et renouvelez tous les identifiants admin, base de données et API une fois le site confirmé propre.
Sources et lectures complémentaires
- CVE-2026-48908 Detail — NVD (National Vulnerability Database)
- SP Page Builder Zero-Day RCE Fixed in 6.6.2 — mySites.guru
- PageBuilder CK Unauthenticated File Upload RCE (CVE-2026-56290) — mySites.guru
- Warning: Critical Unauthenticated Arbitrary File Upload (CVE-2026-56290) — Centre for Cybersecurity Belgium
- Two Joomla Page Builder CVSS 10.0 Vulnerabilities Added to CISA KEV — Threat-Modeling.com














