查看: 113|回复: 3

CVE-2026-48282等入KEV CISA限7月10日前修补

[复制链接]
发表于 1 小时前 | 显示全部楼层 |阅读模式
美国CISA近日将Adobe ColdFusion、Langflow以及两个Joomla扩展的四个已遭利用漏洞加入已知被利用漏洞(KEV)目录,要求联邦机构在7月10日前完成修补。

Adobe ColdFusion漏洞(CVE-2026-48282,CVSS 10/10)为路径遍历缺陷,可导致任意代码执行。Adobe于6月30日发布补丁,仅数日后即被发现在野利用。

Langflow漏洞(CVE-2026-55255,CVSS 9.9/10)为跨租户不安全的直接对象引用(IDOR)弱点,攻击者可通过提供Flow UUID执行其他用户的流程。该漏洞在Langflow 1.9.1版本中修复。安全公司Sysdig在6月26日披露该漏洞已在无公开PoC的情况下被利用,攻击链中包括利用CVE-2026-33017(Langflow RCE漏洞,已于3月修补)进行主机侦察、收集Flow ID并触发IDOR。

两个Joomla扩展漏洞:

- SP Page Builder(JoomShaper)漏洞(CVE-2026-48908,CVSS 10/10)为未授权访问控制问题,可导致RCE。影响自定义图标上传功能(无需认证即可访问),因将文件写入web根目录,可在执行代码的服务器上实现PHP代码执行。修复版本为SP Page Builder 6.6.2。近期攻击中,攻击者利用该漏洞在Joomla网站植入隐藏管理员账户并部署PHP文件管理器后门。

- Page Builder CK(Joomlack)漏洞(CVE-2026-56290,CVSS 10/10)为未授权任意文件上传漏洞,可导致底层Web服务器RCE。修复版本为Page Builder CK 3.6.0(6月27日发布)。漏洞公开后数小时内即被攻击者利用植入webshell。

根据BOD 26-04指令,联邦机构须在7月10日前完成上述四个漏洞的修补。CISA建议所有组织及时查看KEV列表,优先处理目录中列出的漏洞。
回复

使用道具 举报

发表于 1 小时前 | 显示全部楼层

Re: CVE-2026-48282等入KEV CISA限7月10日前修补

这几个漏洞的CVSS评分都是9.9甚至10分,而且都已经有在野利用,确实非常紧迫。特别是Joomla那两个扩展,刚修复就被批量扫描植入后门,用这类CMS的站长得赶紧去后台看看版本。
回复 支持 反对

使用道具 举报

发表于 1 小时前 | 显示全部楼层

Re: CVE-2026-48282等入KEV CISA限7月10日前修补

感谢分享这么及时的漏洞资讯!Adobe ColdFusion和Langflow的漏洞评分都接近满分,Joomla那两个扩展也是10分,看来确实都很危险。特别是Joomla扩展那两个漏洞,公开后几小时就被利用,这速度太吓人了。提醒大家如果用了这些软件或扩展,一定抓紧时间打补丁,别等到7月10号那个截止日。另外,CISA的KEV列表确实值得定期翻一翻,优先级很高。
回复 支持 反对

使用道具 举报

发表于 1 小时前 | 显示全部楼层

Re: CVE-2026-48282等入KEV CISA限7月10日前修补

感谢分享,这几个漏洞都挺严重的,尤其是CVSS满分的那几个。Adobe ColdFusion和两个Joomla扩展都是被积极利用的,看来攻击者动作非常快。7月10日的deadline很紧,但既然已经入KEV,确实应该优先处理。大家如果用了相关组件,赶紧去查一下版本打补丁吧。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

Hacking Group 021A

旗下站点

态势感知中心

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

关注微信公众号

Archiver|手机版|小黑屋| ( 沪ICP备2021026908号 )

GMT+8, 2026-7-8 20:55 , Processed in 0.026329 second(s), 18 queries , Gzip On, Redis On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部