Přeskočit na hlavní obsah

Tohle není požár na druhém břehu - bezpečnostní výstrahy pro jádro Joomly i hlavní rozšíření

| Alaudae.JP

Během 48 hodin se v ekosystému Joomly objevila série oznámení, která si zaslouží víc než letmý pohled. Nejde o rutinní údržbu. Pokud provozujete web na Joomle, tohle je něco, co byste měli ověřit ještě dnes.

7. července 2026 vydal projekt Joomla verze 6.1.2 a 5.4.7. Jde o bezpečnostní a opravné vydání obsahující dvanáct bezpečnostních oprav: šest chyb typu XSS (cross-site scripting) a šest případů nesprávné kontroly přístupu. Za pozornost stojí, že několik z nich se týká endpointů Web Services API (com_media, com_privacy, com_fields). Pokud váš web vystavuje Joomla API, berte tuto aktualizaci jako urgentní.

Následující den, 8. července, vyšel JCE Editor 2.9.99.9. Samotné vydání řeší mimo jiné falešné poplachy, kdy pravidla Cloudflare OWASP a Imunify WAF blokovaly RPC požadavky. Přichází ale po rychlé sérii vydání, která zavírala vážné díry - včetně neautentizovaného nahrávání profilů a path traversal ve správci souborů. Pro uživatele JCE už není "být na nejnovější verzi" volba. Je to základ.

K obojímu existují oficiální oznámení. Nevěřte tomuto článku - ověřte si zdroje sami a jednejte:

  • Joomla 6.1.2 & 5.4.7: https://www.joomla.org/announcements/release-news/5955-joomla-6-1-2-5-4-7-security-bugfix-release.html
  • JCE Editor changelog: https://www.joomlacontenteditor.net/support/changelog/editor

A pak je tu vážnější věc. SP Page Builder, jeden z nejpoužívanějších page builderů pro Joomlu, má potvrzenou zranitelnost (CVE-2026-48908), která umožňuje útočníkovi bez přihlášení nahrát soubor a spustit vlastní kód na serveru (RCE). Hodnocení: maximálních 10.0 na škále CVSS 4.0. Zasaženy jsou všechny verze do 6.6.1 včetně; oprava je ve verzi 6.6.2, dostupné od 14. června. Zranitelnost je aktivně zneužívána: útočníci umisťují webshelly do /media/com_sppagebuilder/ a vytvářejí falešné účty superadministrátorů s e-mailovými adresami končícími na @secure.local. Nejmrazivější detail: web bylo možné napadnout, i když žádná stránka vytvořená tímto builderem nebyla nikdy publikována, a dokonce i když byla komponenta vypnutá. Stačilo, že byla nainstalovaná.

Stejný typ chyby byl potvrzen i v Page Builder CK (CVE-2026-56290): neautentizované nahrání souboru vedoucí k RCE, rovněž hodnocení 10.0, rovněž zneužíváno v praxi, opraveno ve verzi 3.6.0.

Ani jedna z těchto chyb není nová technika. Upload endpoint, který přeskočí ověření přihlášení, je jeden z nejstarších a nejznámějších vzorců selhání ve webové bezpečnosti. A čím je rozšíření jednodušší a populárnější, tím větší je jeho instalovaná základna - a přesně tak velký je i povrch útoku. Jediná otázka, na které záleží, je, zda zvládání zranitelností drží krok s popularitou.

Je tu ještě jedna změna doby: AI. Na fórech vývojářů dnes uživatelé otevřeně hlásí, že další chyby našli statickou analýzou kódu s pomocí AI. Pokud dokáže díry najít výzkumník s AI, dokáže to i útočník. Objevování i zneužívání zrychluje nad všechno, na co jsme byli zvyklí. V dobrém i zlém: zda se tyhle požáry podaří rychle uhasit, závisí na tom, jestli se vývojáři a provozovatelé dokážou pohybovat stejnou rychlostí.

Tohle není požár na druhém břehu. Automatizované útoky si před úderem neověřují, jestli je váš web firemní nebo osobní, komerční nebo koníček. Pokud je komponenta nainstalovaná, jste na seznamu.

A poslední věc: aktualizace je prevence, ne úklid. Pokud už byl web napaden, záplata neodstraní ani webshelly, ani falešné administrátory. Minimum: projděte seznam administrátorských účtů, prohledejte adresáře pro nahrávání, zda neobsahují PHP soubory, které nepoznáváte, a pokud najdete jakoukoli stopu průniku, vyměňte všechny přístupové údaje - hesla administrátorů, heslo k databázi, API klíče. Teprve pak je požár skutečně uhašen.

Nakonec: jediný způsob, jak zabránit šíření zranitelnosti - ne, bezpečnostní díry - je každodenní, nenápadná práce se sběrem informací. To není paranoia. Je to, myslím, minimální povinnost každého, kdo k sobě zve návštěvníky.