HTProtect.org Unabhängige Informationsseite zu Joomla-Sicherheitslücken
HTProtect HTProtect JOOMLA SECURITY
htprotect.org Sicherheitslücken & Update-Anleitungen
Sicherheitslücke

SP Page Builder – kritische RCE-Zero-Day, aktiv ausgenutzt

Kritisch Wird aktiv ausgenutztCVE: Im Quellartikel nicht genannt
Jetzt handeln
SP Page Builder umgehend auf 6.6.2 aktualisieren – die Zero-Day-Lücke wird aktiv ausgenutzt.
Sichere Version herunterladen Zu den Update-Schritten

Sichere Version: SP Page Builder 6.6.2 (Notfall-Update) · über JoomShaper (Konto erforderlich)

Auf einen Blick

Betroffene Erweiterung
SP Page Builder – Page-Builder, Komponente com_sppagebuilder
Hersteller
JoomShaper
Art der Lücke
Unauthentifizierter Datei-Upload (Funktion asset.uploadCustomIcon prüfte weder Login noch Dateityp) → Remote Code Execution (RCE)
Betroffene Versionen
Gesamte 6.x-Reihe bis einschließlich 6.6.1
Sichere Version
SP Page Builder 6.6.2 (Notfall-Update)   Download
Schweregrad
Kritisch · wird aktiv ausgenutzt
CVE
Im Quellartikel nicht genannt
Joomla-Kompatibilität
Joomla 4 / 5 / 6
Stand / Veröffentlichung
Stand: 16. Juni 2026

Worum geht es?

SP Page Builder von JoomShaper ist einer der verbreitetsten Page-Builder für Joomla. Die Funktion asset.uploadCustomIcon prüfte weder eine Anmeldung noch den Dateityp. Dadurch ließ sich ohne Login Schadcode hochladen und ausführen (Remote Code Execution).

Betroffen ist die gesamte 6.x-Reihe bis einschließlich 6.6.1. Das Notfall-Update 6.6.2 schließt die Lücke. Sie wird als kritische Zero-Day-Lücke eingestuft und bereits aktiv ausgenutzt.

Typische Spuren eines Angriffs: versteckte Super-User-Konten (z. B. mit E-Mail-Adressen, die auf @secure.local enden) sowie mehrere PHP-Backdoors. Das Update schließt nur die Eingangstür – bestehende Zugänge bleiben, bis sie entfernt werden. Bloßes Deaktivieren der Erweiterung schützt nicht.

Bin ich betroffen? – So prüfen Sie es

  1. Backend öffnen

    Melden Sie sich im Joomla-Administrator an.

  2. Version prüfen

    Öffnen Sie ErweiterungenVerwaltenVerwalten und filtern Sie nach „SP Page Builder“.

  3. Version bewerten

    Liegt die Version bei 6.6.1 oder darunter, ist die Seite verwundbar. Sicher ist 6.6.2.

  4. Auf Einbruchsspuren prüfen

    Suchen Sie nach Super-Usern mit Adresse @secure.local sowie nach fremden .php-Dateien (u. a. unter images/…/fonts/ und users.php in /media/).

So schließen Sie die Lücke

Vor jedem Update: Backup
Sichern Sie Dateien und Datenbank, bevor Sie aktualisieren – so kommen Sie im Notfall zurück (z. B. über Akeeba Backup oder Ihren Hoster).
  1. Update-Center öffnen

    Gehen Sie zu SystemAktualisierenErweiterungen und klicken Sie auf Auf Updates prüfen.

  2. SP Page Builder aktualisieren

    Wählen Sie den Eintrag und aktualisieren Sie auf 6.6.2.

  3. Version prüfen

    Kontrollieren Sie, dass nun 6.6.2 installiert ist.

Manuelle Installation (Alternative)
Alternativ laden Sie das Paket von joomshaper.com und installieren es über ErweiterungenVerwaltenInstallieren. Wichtig: Keine alten Dateien zurückspielen.
Sichere Version herunterladen

Offizielle Bezugsquelle: über JoomShaper (Konto erforderlich). Achten Sie auf mindestens SP Page Builder 6.6.2 (Notfall-Update).

Wurde die Seite schon angegriffen?

Aktiv ausgenutzt – Update allein genügt nicht
Die Lücke hinterlässt versteckte Super-User-Konten und mehrere PHP-Backdoors. Entfernen Sie diese gezielt, ändern Sie alle Passwörter und härten Sie die Upload-Ordner (z. B. per .htaccess, das die PHP-Ausführung dort unterbindet). Bloßes Deaktivieren der Erweiterung schützt nicht.

Quellen & weiterführende Links

Maßgeblich sind stets die offiziellen Angaben des jeweiligen Herstellers. Diese Seite fasst öffentlich verfügbare Informationen neutral zusammen.

Zur Übersicht aller Lücken
Unterstützer

Unterstützer dieser Seite

htprotect.org ist ein kostenloses, herstellerunabhängiges Informationsangebot. Unterstützt wird es von:

Hoster & Community
FC-Hosting

Joomla-Hoster aus Deutschland mit aktivem Community-Support – entdeckte den ersten Angriff auf die JCE-Sicherheitslücke.

fc-hosting.de
Initiator & Betreiber
Website-Bereinigung.de

Spezialisiert auf Bereinigung, Wartung und Absicherung von Joomla- und WordPress-Websites.

website-bereinigung.de

Dieses Projekt unterstützen

Du betreibst einen Hosting- oder Joomla-Dienst und möchtest htprotect.org fördern – und hier als Unterstützer sichtbar werden? Jede Unterstützung hilft, Betroffene schneller zu warnen und schneller zu schützen.

HTProtect jetzt unterstützen