Zum Inhalt springen

Kritische SQL-Injection in Quix Page Builder Pro: Joomla-Websites sofort prüfen

Eine unauthentifizierte SQL-Injection im Joomla-Plugin Quix Page Builder Pro gefährdet Datenbanken – sofortiger Handlungsbedarf für betroffene Website-Betreiber.
17. Juli 2026 durch
Kritische SQL-Injection in Quix Page Builder Pro: Joomla-Websites sofort prüfen
Ralph Tiedtke

Was ist passiert?

Am 16. Juli 2026 wurde die Schwachstelle CVE-2026-58078 offiziell veröffentlicht. Sie betrifft die beliebte Joomla-Erweiterung Quix Page Builder Pro des Herstellers ThemeXpert. Laut der Sicherheitsanalyse von mysites.guru handelt es sich um eine unauthentifizierte SQL-Injection: Ein Angreifer kann ohne Benutzerkonto oder Anmeldung manipulierte Datenbankabfragen an die betroffene Website senden. Ein CVSS-Score wurde zum Zeitpunkt der Veröffentlichung noch nicht vergeben, die Einstufung als kritisch ist angesichts der fehlenden Authentifizierungsvoraussetzung jedoch gerechtfertigt.

Wer ist betroffen?

Betroffen sind alle Joomla-Websites, auf denen Quix Page Builder Pro installiert und aktiv ist. Quix ist eine weit verbreitete Premium-Erweiterung für den visuellen Seitenaufbau in Joomla und wird von einer Vielzahl von Agenturen und KMU eingesetzt. Die offizielle Produktseite von ThemeXpert gibt Aufschluss über den Verbreitungsgrad der Erweiterung. Sind Sie sich unsicher, ob Ihre Website betroffen ist, prüfen Sie die installierten Erweiterungen unter System → Erweiterungen verwalten im Joomla-Backend.

Wie gefährlich ist die Lücke?

SQL-Injection gilt als eine der gefährlichsten Klassen von Webanwendungs-Schwachstellen. Im vorliegenden Fall ist die Situation besonders ernst, weil:

  • Keine Authentifizierung notwendig ist – jeder externe Angreifer kann die Lücke ohne Konto ausnutzen.
  • Angreifer potenziell die gesamte Datenbank auslesen können, inklusive Benutzerdaten, Passwort-Hashes, E-Mail-Adressen und Konfigurationsdaten.
  • Je nach Datenbankberechtigungen auch Daten verändert oder gelöscht werden können.
  • In bestimmten Konstellationen ein vollständiger Server-Kompromiss möglich ist.

Automatisierte Angriffs-Tools scannen das Internet kontinuierlich nach bekannten Schwachstellen. Mit der öffentlichen Bekanntmachung steigt das Risiko einer Ausnutzung innerhalb kürzester Zeit erheblich.

Was ist jetzt zu tun?

  • Sofort prüfen: Stellen Sie fest, ob Quix Page Builder Pro auf Ihrer Joomla-Installation aktiv ist.
  • Update einspielen: Prüfen Sie umgehend, ob ThemeXpert einen Sicherheitspatch bereitgestellt hat, und spielen Sie diesen unverzüglich ein.
  • Erweiterung deaktivieren: Steht noch kein Patch bereit, deaktivieren Sie Quix Page Builder Pro vorübergehend, bis eine gesicherte Version verfügbar ist.
  • Logs prüfen: Analysieren Sie Ihre Server- und Zugriffslogs auf verdächtige SQL-Anfragen oder ungewöhnliche Datenbankzugriffe.
  • Web Application Firewall (WAF): Erwägen Sie den Einsatz einer WAF, um SQL-Injection-Versuche proaktiv zu blockieren.
  • Passwörter und Zugangsdaten ändern: Ändern Sie sicherheitshalber alle Datenbankpasswörter sowie Administrator-Zugangsdaten der betroffenen Joomla-Installation.

Handeln Sie jetzt – wir helfen Ihnen

Sie sind sich unsicher, ob Ihre Joomla-Website betroffen ist, oder benötigen Unterstützung beim Einspielen von Updates und der Sicherheitsüberprüfung Ihrer Installation? Das Team von monsi.it steht Ihnen als erfahrener Joomla-Dienstleister zur Seite. Nehmen Sie noch heute Kontakt mit uns auf – über unser Kontaktformular melden wir uns schnellstmöglich bei Ihnen.

Kritische SQL-Injection in Quix Page Builder Pro: Joomla-Websites sofort prüfen
Ralph Tiedtke 17. Juli 2026
Diesen Beitrag teilen
Stichwörter
Archiv
CVE-2026-58077: Kritische XSS-Lücke in Joomla-Extension 4Analytics – Website-Übernahme möglich
Die Joomla-Extension 4Analytics ermöglicht unauthentifizierten Angreifern, schädlichen Code einzuschleusen – Handlungsbedarf für alle Betreiber.