Joomla CK Page Builder任意文件上传漏洞(CVE-2026-56290)

北京赛克艾威科技有限公司 2026-06-29


  • 漏洞编号:CVE-2026-56290
  • 漏洞等级:严重
  • 漏洞标签:在野利用、CISA KEV、关键漏洞、POC公开
  • 发布时间:2026-06-29

漏洞描述

Page Builder CK是专为Joomla内容管理系统开发的流行可视化页面构建扩展,允许用户通过直观的拖放界面创建复杂的网页布局,无需编写代码即可实现响应式设计和丰富的内容展示功能。该扩展广泛应用于企业网站、电子商务平台及个人博客,为Joomla生态系统提供了强大的前端内容编辑能力。在1.0至3.6.0版本中,由于文件上传接口缺乏充分的身份验证机制和文件类型校验,未经身份验证的远程攻击者可向服务器上传包含恶意代码的可执行文件。成功利用此漏洞后,攻击者能够在Web服务器上执行任意系统命令,进而完全控制受影响的Joomla站点及其底层服务器,导致数据泄露、网站篡改或进一步的内网渗透攻击。

修复建议

暂无

参考链接

https://ti.qianxin.com/vulnerability/detail/472280