Impatto Sistemico

Critico (79.48)

Sintesi

Rilevato sfruttamento attivo in rete della CVE-2026-48908 – già sanata dal vendor – presente nel plugin SP Page Builder per il noto CMS Joomla! Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente malintenzionato remoto di eseguire codice arbitrario sui sistemi interessati.

Tipologia

Remote Code Execution

Descrizione e potenziali impatti

È stato rilevato lo sfruttamento attivo in rete della CVE-2026-48908, vulnerabilità presente nel plugin SP Page Builder per il noto CMS Joomla!

Tale vulnerabilità – con score CVSS v3.1 pari a 10.0 – è dovuta a controlli di accesso non adeguati relativi alla funzionalità di caricamento di icone personalizzate. Un attaccante remoto non autenticato potrebbe sfruttare la vulnerabilità presente nell’endpoint /index.php?option=com_sppagebuilder&task=asset.uploadCustomIcon per caricare file PHP opportunamente predisposti, ottenendo, potenzialmente, l’esecuzione di codice arbitrario sul server interessato.

Prodotti e/o versioni affette

SP Page Builder, versioni precedenti alla 6.6.2

Azioni di mitigazione

Ove non provveduto, si raccomanda di aggiornare tempestivamente i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.

Si raccomanda, inoltre, di verificare l’eventuale presenza di indicatori di compromissione, con particolare attenzione a:

• account sconosciuti, in particolare utenze con privilegi di Super Administrator e indirizzo e-mail con dominio @secure.local ;
• file .php non riconosciuti nel percorso images/<random>/fonts/ ;
• file denominati users.php nei percorsi /media/com_admin/ e /media/regularlabs/ ;
• file sospetti contenenti riferimenti a “PHP File manager”.

Qualora siano rilevate evidenze di compromissione sui propri sistemi, si raccomanda agli utenti e alle organizzazioni di adottare le seguenti misure:

• porre in isolamento e/o offline gli host potenzialmente interessati dalla compromissione;
• preservare e raccogliere le evidenze disponibili, quali file .php sospetti, log di rete, log web server e log di autenticazione anomali;
• rimuovere gli account amministrativi non riconosciuti;
• reimpostare tutte le credenziali relative a Joomla, database, SSH e FTP;
• revocare o rigenerare eventuali chiavi SSH/FTP compromesse o potenzialmente esposte;
• forzare la chiusura di tutte le sessioni attive;
• rimuovere i file .php sospetti e le eventuali ulteriori backdoor individuate;
• segnalare tempestivamente a questo CSIRT, tramite il portale https://segnalazioni.acn.gov.it/ l’evento occorso.