CVE-2026-48282等入KEV CISA限7月10日前修补
美国CISA近日将Adobe ColdFusion、Langflow以及两个Joomla扩展的四个已遭利用漏洞加入已知被利用漏洞(KEV)目录,要求联邦机构在7月10日前完成修补。Adobe ColdFusion漏洞(CVE-2026-48282,CVSS 10/10)为路径遍历缺陷,可导致任意代码执行。Adobe于6月30日发布补丁,仅数日后即被发现在野利用。
Langflow漏洞(CVE-2026-55255,CVSS 9.9/10)为跨租户不安全的直接对象引用(IDOR)弱点,攻击者可通过提供Flow UUID执行其他用户的流程。该漏洞在Langflow 1.9.1版本中修复。安全公司Sysdig在6月26日披露该漏洞已在无公开PoC的情况下被利用,攻击链中包括利用CVE-2026-33017(Langflow RCE漏洞,已于3月修补)进行主机侦察、收集Flow ID并触发IDOR。
两个Joomla扩展漏洞:
- SP Page Builder(JoomShaper)漏洞(CVE-2026-48908,CVSS 10/10)为未授权访问控制问题,可导致RCE。影响自定义图标上传功能(无需认证即可访问),因将文件写入web根目录,可在执行代码的服务器上实现PHP代码执行。修复版本为SP Page Builder 6.6.2。近期攻击中,攻击者利用该漏洞在Joomla网站植入隐藏管理员账户并部署PHP文件管理器后门。
- Page Builder CK(Joomlack)漏洞(CVE-2026-56290,CVSS 10/10)为未授权任意文件上传漏洞,可导致底层Web服务器RCE。修复版本为Page Builder CK 3.6.0(6月27日发布)。漏洞公开后数小时内即被攻击者利用植入webshell。
根据BOD 26-04指令,联邦机构须在7月10日前完成上述四个漏洞的修补。CISA建议所有组织及时查看KEV列表,优先处理目录中列出的漏洞。
Re: CVE-2026-48282等入KEV CISA限7月10日前修补
这几个漏洞的CVSS评分都是9.9甚至10分,而且都已经有在野利用,确实非常紧迫。特别是Joomla那两个扩展,刚修复就被批量扫描植入后门,用这类CMS的站长得赶紧去后台看看版本。Re: CVE-2026-48282等入KEV CISA限7月10日前修补
感谢分享这么及时的漏洞资讯!Adobe ColdFusion和Langflow的漏洞评分都接近满分,Joomla那两个扩展也是10分,看来确实都很危险。特别是Joomla扩展那两个漏洞,公开后几小时就被利用,这速度太吓人了。提醒大家如果用了这些软件或扩展,一定抓紧时间打补丁,别等到7月10号那个截止日。另外,CISA的KEV列表确实值得定期翻一翻,优先级很高。Re: CVE-2026-48282等入KEV CISA限7月10日前修补
感谢分享,这几个漏洞都挺严重的,尤其是CVSS满分的那几个。Adobe ColdFusion和两个Joomla扩展都是被积极利用的,看来攻击者动作非常快。7月10日的deadline很紧,但既然已经入KEV,确实应该优先处理。大家如果用了相关组件,赶紧去查一下版本打补丁吧。
页:
[1]