JoomShaper stellt Joomla-3-Patches ein: SP Page Builder und Helix jetzt absichern
Am 9. Juli 2026 hat JoomShaper eine unbequeme Entscheidung öffentlich gemacht: Für die Joomla-3-Linien von SP Page Builder, Helix3 und Helix Ultimate gibt es keine Sicherheitspatches mehr - wörtlich, unabhängig vom Schweregrad. Wer seine Seite mit diesen Erweiterungen noch auf Joomla 3 betreibt, steht damit vor der Frage: Wie kann ich meine Joomla-3-Seite jetzt absichern, ohne sofort migrieren zu müssen? Die gute Nachricht vorweg: Du bist nicht schutzlos. Die drei aktuell bekannten JoomShaper Joomla 3 Sicherheitslücken lassen sich an der Tür blockieren - und genau das übernimmt unsere kostenlose Komponente HTProtect, auf Joomla 3 genauso wie auf 4, 5 und 6.
Bei Sicherheitsupdates predigen wir sonst immer denselben ersten Schritt: aktualisieren. Diesmal ist die Lage anders. Für Joomla 3 gibt es die rettende Version schlicht nicht mehr - und wird es auch nicht mehr geben. Dieser Artikel ordnet ein, was passiert ist, wie gefährlich die drei Lücken wirklich sind, warum ausgerechnet Joomla-3-Seiten jetzt im Fokus stehen und wie du deine Seite trotzdem robust absicherst.
Was ist passiert?
JoomShaper ist einer der größten Anbieter im Joomla-Umfeld - SP Page Builder, das Helix-Framework und die dazugehörigen Templates laufen auf hunderttausenden Seiten. Am 9. Juli 2026 hat das Unternehmen bekanntgegeben, den Joomla-3-Support für alle Produkte einzustellen. Die entscheidende Zeile: Die Joomla-3-Versionen erhalten keine Sicherheitsupdates mehr, egal wie kritisch eine Lücke ist.
Die Begründung ist nachvollziehbar: JoomShaper kann den eigenen Code pflegen, aber nicht den Joomla-Kern darunter - und der ist bei Joomla 3 längst am Ende seines Lebenszyklus. Sicherheitsupdates fließen deshalb nur noch in die Ausgaben für Joomla 4 und höher: SP Page Builder 6.6.2, Helix3 3.1.1 und Helix Ultimate 2.2.7 - alle drei setzen Joomla 4+ voraus und lassen sich auf Joomla 3 gar nicht erst installieren.
Das Timing ist der eigentliche Sprengstoff. Die Ankündigung fällt genau in ein Fenster, in dem JoomShaper-Produkte gleich mehrere ernste Schwachstellen produziert haben - teils aktiv ausgenutzt. Kurz gesagt: Die Tür wird zugezogen, während draußen bereits jemand rüttelt.
Die drei Lücken im Detail
Drei konkrete Schwachstellen stehen im Raum. Alle drei haben eine Gemeinsamkeit, die sie so gefährlich macht: Sie sind ohne Login ausnutzbar. Ein Angreifer braucht kein Konto und kein Passwort - der Aufruf über das Frontend genügt.
SP Page Builder: unauthentifizierter Upload bis zur Remote Code Execution
Die schwerste Lücke steckt im Asset-Controller von SP Page Builder (task=asset.uploadCustomIcon). Über sie lässt sich ohne jede Anmeldung eine Datei hochladen und ausführen - der Klassiker unauthentifizierter Upload mit anschließender Remote Code Execution. Geführt wird sie als CVE-2026-48908 mit dem maximalen CVSS-Wert von 10.0. Sie wurde bereits in freier Wildbahn ausgenutzt, um still versteckte Joomla-Super-Admins anzulegen. Für Joomla 4+ ist sie in 6.6.2 geschlossen - für Joomla 3 nicht.
Helix3: unauthentifiziertes Schreiben und Löschen von Dateien
Helix3 bringt einen com_ajax-Handler (onAjaxHelix3) mit, dessen Aktionen save, import und remove keine Rechteprüfung durchführten. Ein Fremder ohne Login konnte darüber Dateien schreiben und löschen, teilweise per Path-Traversal auch außerhalb des vorgesehenen Ordners. Diese Helix3-Lücke wird als CVE-2026-49049 mit einem CVSS von 7.5 geführt. JoomShaper hat sie Ende Juni mit Helix3 3.1.1 geschlossen - wieder nur für Joomla 4+.
Helix Ultimate: Stored XSS bis in die Admin-Sitzung
Helix Ultimate hat über seinen AJAX-Handler (onAjaxHelixultimate) ohne Login das Schreiben in die Menü-Einstellungen erlaubt. Weil diese Inhalte vor der Ausgabe nicht bereinigt wurden, ließ sich Schadcode parken - ein Stored XSS, der anschließend im Browser deiner Besucher und, deutlich schlimmer, in deiner eigenen Admin-Sitzung ausgeführt wird. Damit kann ein Angreifer in deinem Namen handeln, etwa still einen weiteren Super-User anlegen. Der Fix steckt in Helix Ultimate 2.2.7; einen CVE-Eintrag gibt es zu dieser Lücke bislang nicht.
Die folgende Übersicht fasst zusammen, worum es geht - und was HTProtect dagegen tut:
| Erweiterung | Lücke & CVE | Schweregrad | Was HTProtect tut |
|---|---|---|---|
| SP Page Builder (Joomla-3-Linie) | Unauthentifizierter Upload bis RCE über asset.uploadCustomIconCVE-2026-48908 🔗 | Kritisch CVSS 10.0 | Dedizierte WAF-Signatur blockt den anonymen Zugriff; generischer Gast-Upload-Filter und PHP-Schild fangen ausführbare Uploads zusätzlich ab |
| Helix3 (< 3.1.1) | Unauthentifiziertes Schreiben/Löschen von Dateien via onAjaxHelix3 (u.a. Path-Traversal)CVE-2026-49049 | Hoch CVSS 7.5 | Dedizierte WAF-Signatur blockt den anonymen com_ajax-Aufruf, bevor der Handler lädt |
| Helix Ultimate (< 2.2.7) | Unauthentifiziertes Schreiben in Menü-Einstellungen, Stored XSS via onAjaxHelixultimatekein CVE | Hoch | Dedizierte WAF-Signatur blockt den anonymen Menü-Schreibzugriff an der Tür |
Hinweis: Die WAF-Signaturen greifen ausschließlich bei anonymen Frontend-Zugriffen. Dein eingeloggtes, legitimes Arbeiten im Backend bleibt unberührt.
Warum Joomla-3-Seiten jetzt besonders betroffen sind
Joomla 3 ist selbst End of Life. Die Linie 3.10 hat ihren regulären Support bereits 2023 verloren; das kostenpflichtige Extended-Security-Programm (eLTS), das den Kern noch bis Februar 2025 mit Patches versorgt hat, ist ebenfalls ausgelaufen. Der Joomla-Kern bekommt also keine Updates mehr - und jetzt die verbreitetsten JoomShaper-Erweiterungen darauf auch nicht.
Damit entsteht eine gefährliche Kombination: bekannte, teils aktiv ausgenutzte Lücken auf der einen Seite, kein Hersteller-Patch auf der anderen. Sobald der gepatchte Code für Joomla 4+ öffentlich vorliegt, kann jeder ihn mit der alten Version vergleichen und daraus ableiten, wie die Lücke funktioniert. Ab da ist es nur eine Frage der Zeit, bis automatisierte Scanner gezielt nach genau diesen veralteten Installationen suchen. Für Joomla 3 heißt das: Die Lücke bleibt offen, dauerhaft.
Ein Trugschluss noch vorweg, weil er in der Praxis oft zu falscher Sicherheit führt: Eine Erweiterung nur zu deaktivieren, schützt nicht. Die Dateien und AJAX-Endpunkte bleiben auf dem Server und lassen sich weiter direkt aufrufen.
So schützt HTProtect Joomla 3 - die drei Ebenen
HTProtect ist unsere kostenlose Joomla-Sicherheitskomponente. Sie ersetzt kein Update - aber sie deckt genau die Vektoren ab, für die es auf Joomla 3 kein Update mehr gibt. Und weil ihr System-Plugin von Joomla 2.5 bis 6 läuft, greift sie auf Joomla 3 genauso wie auf 4, 5 und 6.
1. Angriffstor blockieren (Web Application Firewall)
HTProtect bringt für alle drei Lücken dedizierte, fehlalarm-freie WAF-Signaturen mit (Helix3, Helix Ultimate, SP Page Builder). Durchgesetzt werden sie vom HTProtect-System-Plugin, das eingreift, bevor die verwundbare Funktion überhaupt lädt. Wichtig: Die Signaturen blocken nur anonyme Frontend-Zugriffe - dein legitimes, eingeloggtes Arbeiten bleibt unangetastet. Diese Signaturen existierten bei uns übrigens schon vor der öffentlichen Abkündigung, seit Ende Juni / Anfang Juli 2026.
Dazu kommen zwei generische Schutzschichten, die unabhängig von einer konkreten Lücke wirken: ein Gast-Upload-Filter, der ausführbare Uploads in jeder Komponente abfängt, und das PHP-Schild, das die Ausführung von .php-Dateien in Upload- und Medienordnern per .htaccess unterbindet. Damit ist die gesamte Klasse von Nachlade-Angriffen entschärft, selbst wenn eine Datei doch einmal durchrutscht.
2. Warnen
HTProtect erkennt verwundbare Erweiterungen und weist dich in der Übersicht darauf hin - konkret warnt es bei Helix3 unter 3.1.1 und Helix Ultimate unter 2.2.7 (und allen älteren Versionen). So siehst du auf einen Blick, welche deiner Seiten überhaupt betroffen sind, ohne jede Installation einzeln durchzuklicken.
3. Kompromittierung erkennen und bereinigen
Falls es schon passiert ist, findet und bereinigt HTProtect genau die beobachteten Folgen: untergeschobene Super-Admins, eingeschleustes JavaScript beziehungsweise XSS in Menüs und SP-Page-Builder-Elementen, Defacement sowie Backdoors und Malware. Die Bereinigung läuft per Ein-Klick und ist reversibel, sodass du nichts Falsches unwiederbringlich löschst.
Was HTProtect NICHT ist - die ehrliche Einordnung
Damit du weißt, worauf du dich verlässt, hier die Grenzen klar benannt:
- HTProtect ist kein Quellcode-Patch. Es ist robuste Abwehr plus Erkennung. Das Tor ist zu - der Fehler bleibt aber im Code der Erweiterung. Wir reparieren nicht die verwundbare Funktion, wir sorgen dafür, dass sie von außen nicht mehr erreichbar ist.
- Das Schutz-Plugin muss aktiv bleiben. Standardmäßig ist es an, und HTProtect überwacht sich dabei selbst - aber ein deaktiviertes Plugin schützt nicht.
- Joomla 3 bleibt End of Life. HTProtect verschafft dir Zeit und deckt die bekannten Vektoren robust ab. Die endgültige Lösung ist und bleibt die Migration auf Joomla 5 oder 6. Wenn du nicht sofort migrieren kannst - und viele können das aus guten Gründen nicht -, ist genau dafür dieser Schutz da.
Deine Checkliste - das ist jetzt zu tun
- Bestandsaufnahme: Finde jede deiner Joomla-3-Installationen und prüfe, welche SP Page Builder, Helix3 oder Helix Ultimate einsetzen.
- Tor schließen: Installiere HTProtect und lass die WAF, den Gast-Upload-Filter und das PHP-Schild aktiv. Das blockt die drei bekannten Vektoren sofort.
- Auf Spuren prüfen: Kontrolliere die Benutzerliste auf Super-User, die du nicht angelegt hast, sowie Menüs, Mega-Menü und Template-Einstellungen auf fremdes Markup oder Custom-Code. Lass einen Malware-Scan über den gesamten Webspace laufen.
- Im Verdachtsfall sauber bereinigen: Behandle die Seite als kompromittiert, sichere Beweise, tausche alle Passwörter sowie Datenbank- und FTP/SSH-Zugänge und beende alle Sessions. Ein Schutz-Plugin entfernt keinen bereits abgelegten Schadcode.
- Migration einplanen: Setze die betroffenen Seiten auf die Roadmap Richtung Joomla 5 oder 6. HTProtect kauft dir die Zeit dafür - nicht mehr, aber auch nicht weniger.
Mehr Details zu den einzelnen Frameworks
Wir haben zu den Lücken jeweils eigene Beiträge veröffentlicht: zur Helix3-Lücke, zur Helix-Ultimate-Lücke und zur SP-Page-Builder-Lücke. Wie HTProtect die einzelnen Frameworks absichert, steht auf htprotect.org/helix3 und htprotect.org/helix-ultimate.
FAQ
Ist meine Joomla-3-Seite mit SP Page Builder noch sicher?
Ohne zusätzlichen Schutz: nein, nicht dauerhaft. Für die Joomla-3-Linie gibt es seit dem 9. Juli 2026 keine Sicherheitspatches mehr, und mindestens eine der bekannten Lücken wurde bereits aktiv ausgenutzt. Mit einer WAF wie in HTProtect lässt sich der bekannte Angriffsweg aber zuverlässig blockieren, bis du migrieren kannst.
Kann ich Joomla 3 absichern, ohne zu migrieren?
Ja - für den Übergang. HTProtect blockt die bekannten Vektoren an der Tür, warnt vor verwundbaren Erweiterungen und erkennt eine bereits erfolgte Kompromittierung. Das schützt effektiv, ersetzt aber nicht die Migration: Joomla 3 selbst ist End of Life und bekommt keine Kern-Updates mehr.
Blockt HTProtect CVE-2026-48908?
Ja. HTProtect hat für diese SP-Page-Builder-Lücke eine dedizierte WAF-Signatur, die den anonymen Zugriff auf den verwundbaren Upload blockt, bevor er ausgeführt wird. Zusätzlich fangen der generische Gast-Upload-Filter und das PHP-Schild ausführbare Uploads ab. Die Signatur existierte bereits vor der öffentlichen Abkündigung.
Ist HTProtect ein Patch für die Erweiterung?
Nein. HTProtect patcht nicht den Quellcode von SP Page Builder oder Helix. Es schließt das Angriffstor von außen (Abwehr) und erkennt eine Kompromittierung (Erkennung) - der Fehler bleibt im Code der Erweiterung. Deshalb bleibt die Migration auf eine gepflegte Joomla-Version das eigentliche Ziel.
Reicht es, die betroffene Erweiterung zu deaktivieren?
Nein. Beim Deaktivieren bleiben die Dateien und die AJAX-Endpunkte auf dem Server und lassen sich weiterhin direkt aufrufen. Schutz bietet nur, den Zugriff aktiv zu blockieren oder die Erweiterung vollständig zu entfernen - Letzteres kostet dich in der Regel Funktion oder Layout.
Woran erkenne ich, dass meine Seite bereits gehackt wurde?
Typische Anzeichen sind unbekannte Super-User in der Benutzerliste, verändertes oder fremdes Markup in Menüs und Template-Einstellungen, ein Defacement der Startseite sowie neue, unerklärliche Dateien im Webspace. HTProtect meldet solche Veränderungen und findet abgelegte Backdoors beim Scan.
Betreibst du Joomla 3 mit SP Page Builder oder Helix? Installiere HTProtect kostenlos und schließe die drei Angriffstore noch heute. Und wenn der Verdacht besteht, dass deine Seite bereits kompromittiert ist, bereinigen wir den gesamten Webspace für dich - nicht nur das Framework. Sieh dir dazu unsere Soforthilfe bei gehackten Joomla-Seiten an.
Fazit
JoomShaper zieht für Joomla 3 die Reißleine: keine Sicherheitspatches mehr für SP Page Builder, Helix3 und Helix Ultimate - obwohl mit CVE-2026-48908 (CVSS 10.0), CVE-2026-49049 (CVSS 7.5) und dem Helix-Ultimate-XSS gerade drei ernste, teils aktiv ausgenutzte Lücken im Raum stehen. Wer nicht sofort migrieren kann, ist deshalb nicht wehrlos. Der ehrliche Dreiklang lautet: Angriffstor blockieren, vor verwundbaren Erweiterungen warnen, eine Kompromittierung erkennen und bereinigen. Genau das leistet HTProtect - auf Joomla 3 wie auf 4 bis 6. Es verschafft dir die Zeit, die du für den letzten und entscheidenden Schritt brauchst: die Migration auf Joomla 5 oder 6.
Quelle: JoomShaper-Ankündigung zum Ende des Joomla-3-Supports vom 9. Juli 2026 sowie die Sicherheitsmeldungen und CVE-Einträge zu CVE-2026-48908 und CVE-2026-49049; Aufbereitung mit Bezug auf mySites.guru.
- Details
- Zuletzt aktualisiert: 13. Juli 2026
