CISA 将 4 个遭活跃利用的 Adobe、Joomla 及 Langflow 漏洞纳入 KEV 目录

CISA 将 4 个遭活跃利用的 Adobe、Joomla 及 Langflow 漏洞纳入 KEV 目录

导语:CISA 将 4 个遭活跃利用的高危漏洞纳入 KEV 目录,涉及 Adobe ColdFusion 路径穿越(CVSS 10.0)、SP Page Builder 与 Page Builder CK 文件上传零日漏洞,以及 Langflow 跨租户 IDOR 漏洞,攻击链与僵尸网络、加密挖矿及智能体勒索软件 JADEPUFFER 关联。

美国网络安全和基础设施安全局(CISA)于本周二将 4 个安全漏洞添加至其已知被利用漏洞(KEV)目录,理由是存在活跃利用的证据。以下是相关漏洞的详细信息。

CVE-2026-48282(CVSS 评分:10.0)是 Adobe ColdFusion 中的一个路径穿越漏洞,可能导致在受影响系统上下文中执行任意代码。值得注意的是,KEVIntel 创始人、安全研究员 Ryan Dewhurst 告诉 The Hacker News,在该漏洞公开披露后数小时内即观测到利用尝试,攻击源 IP 地址位于印度(103.207.14[.]220)。

CVE-2026-48908 据称曾作为零日漏洞被利用,攻击者通过向 "index.php?option=com_sppagebuilder&task=asset.uploadCustomIcon" 端点发送 HTTP POST 请求上传 PHP 文件,随后出现一个新建的超级用户(Super User)账户。mySites.guru 建议 SP Page Builder 用户升级至 6.6.2 或更高版本。

据 mySites.guru 披露,截至 2026 年 6 月 27 日,该 Joomla 与 WordPress 站点管理服务还记录到针对 CVE-2026-56290 的利用尝试,目的是在受影响网站上投递 Web Shell。该问题已在 Page Builder CK 3.6.0 版本中得到修复。mySites.guru 解释道:"我们捕获的第一个确认的 Web Shell 位于 /media/com_pagebuilderck/gfonts/bhup.php,这是一个以上传表单字段 $_POST['_upl'] 为关键字的上传 Shell。由于该漏洞允许攻击者选择目标文件夹,被植入的文件可能出现在任何位置,而不仅仅是明显上传目录,因此应首先检查 /media/com_pagebuilderck/ 下的异常 PHP 文件,然后再更广泛地检查 /images、/media、/templates 和 /administrator 等目录。"

原文配图

至于 CVE-2026-55255,Sysdig 于上月底披露,其观测到一名独立攻击者(IP 地址 45.207.216[.]55)将该漏洞与 Langflow 中的一个未认证远程代码执行漏洞 CVE-2026-33017 武器化,作为一项持续活动的一部分,该活动从 2026 年 6 月 22 日持续至 6 月 25 日。Sysdig 的 Michael Clark 表示:"2026 年 6 月 25 日,该攻击者(45.207.216[.]55)重新访问了三天前首次探测的一个暴露在互联网上的 Langflow 实例,并执行了一段紧凑而有条理的会话:应用/认证侦察 → 流程枚举 → CVE-2026-55255 IDOR 利用 → 利用 CVE-2026-33017 RCE 进行持续循环攻击并尝试外联。"

该活动被评估为机会主义行为且以牟利为目的。CVE-2026-33017 的利用之后会部署设计用于获取第二阶段下载器的载荷,负责投递额外的恶意软件。该攻击链与僵尸网络和加密货币挖矿劫持(cryptojacking)攻击一致。不过,最终载荷的确切性质尚不清楚。Sysdig 将 CVE-2026-55255 描述为一种跨租户的不安全直接对象引用(IDOR)漏洞,威胁行为者利用该漏洞窃取大语言模型(LLM)提供商的密钥以及 AWS 密钥。Sysdig 表示:"AI 编排平台本身就是凭据的宝库,该攻击者显然深谙此道。RCE 攻击针对主机本身,而 IDOR 则针对其他租户的流程及其密钥。"

这也使其成为过去一年中 Langflow 又一个遭恶意行为者利用的漏洞,此前已有 CVE-2025-3248、CVE-2026-0770、CVE-2026-33017、CVE-2026-21445、CVE-2025-34291 以及 CVE-2026-5027。上周,Sysdig 还记录了首例已知的智能体勒索软件(agentic ransomware)案例,其中人类操作员部署了一个智能体并配置必要的基础设施,使该智能体能够通过利用 CVE-2025-3248 Langflow 漏洞全程处理从开始到结束的勒索行动。该勒索软件代号为 JADEPUFFER。

鉴于存在活跃利用的情况,联邦民事行政分支机构(FCEB)机构被建议在 2026 年 7 月 10 日前应用补丁,以保护其网络免受威胁。


来源信息

来源:The Hacker News

原文链接:https://thehackernews.com/2026/07/cisa-adds-4-actively-exploited-adobe.html

作者:info@thehackernews.com (The Hacker News)