Агентство по кибербезопасности и защите инфраструктуры США (CISA) пополнило каталог Known Exploited Vulnerabilities (KEV) четырьмя новыми записями, подтверждёнными фактами активной эксплуатации в реальных атаках. В списке оказались уязвимости в Adobe ColdFusion, двух расширениях для Joomla - SP Page Builder и Page Builder CK, а также в платформе Langflow для создания AI-агентов. Все дефекты оцениваются как критические или высокой степени опасности.
Детали уязвимостей
Наибольшее внимание привлекает уязвимость CVE-2026-48282, затрагивающая Adobe ColdFusion версий 2025.9, 2023.20 и более ранних. Она представляет собой обход ограничения пути к директории (path traversal) и позволяет удалённому неавторизованному атакующему выполнить произвольный код без какого-либо взаимодействия с пользователем. Балл по шкале CVSS 3.1 составляет 10,0 - максимальная критичность. Вектор атаки - сетевой, сложность низкая, для эксплуатации не требуется учётных данных. Успешная атака может привести к полной компрометации системы. Adobe уже выпустила обновления для ColdFusion - пользователям настоятельно рекомендуется установить версию 2025.10 или 2023.21.
Две из добавленных уязвимостей связаны с популярными расширениями для системы управления контентом Joomla. Первая - CVE-2026-48908 в SP Page Builder от JoomShaper (версии до 6.6.2 включительно). Это неограниченная загрузка файлов опасного типа (CWE-434), позволяющая неавторизованному злоумышленнику загрузить произвольный файл, включая PHP-сценарии, что ведёт к удалённому выполнению кода. Разработчики выпустили патч в версии 6.6.2. Вторая - CVE-2026-56290 в расширении Page Builder CK от Joomlack.fr (версии до 3.6.0). Уязвимость аналогична по механике: неаутентифицированная загрузка произвольных файлов с возможностью запуска исполняемых скриптов. И здесь балл CVSS 4.0 также равен 10,0. Исправление появилось в версии 3.6.0.
Уязвимость CVE-2026-55255 затрагивает платформу Langflow, используемую для построения и развёртывания AI-агентов и рабочих процессов. Дефект классифицируется как обход авторизации через контролируемый пользователем ключ (IDOR - insecure direct object reference). Аутентифицированный атакующий, зная идентификатор рабочего процесса (flow) другой жертвы, может выполнить его от своего имени, обратившись к эндпоинту "/api/v1/responses". Это даёт доступ к данным и действиям, которые должны быть изолированы между пользователями. Максимальный балл CVSS 3.1 - 8,4 (высокий). Langflow исправил проблему в версии 1.9.1.
CISA включила эти четыпе уязвимости в каталог KEV на основании подтверждённых данных об их использовании в атаках. Это означает, что федеральные гражданские ведомства США обязаны установить патчи в установленные сроки - до 22 июля 2026 года. Однако угроза касается всех организаций, использующих соответствующие продукты. Агентство по кибербезопасности рекомендует не только установить обновления, но и провести ревизию систем на наличие признаков компрометации.
По данным аналитиков, уязвимости расширений Joomla особенно опасны, поскольку они затрагивают сайты, работающие под управлением этой CMS, а сами расширения SP Page Builder и Page Builder CK входят в число наиболее популярных - их совокупное число установок исчисляется сотнями тысяч. Атакующие могут получить полный контроль над веб-сервером, что открывает путь к краже базы данных, перенаправлению трафика, установке вредоносного ПО. В случае с ColdFusion критическую опасность добавляет то, что эксплуатация не требует взаимодействия пользователя - это делает атаки автоматизированными и массовыми.
Платформа Langflow, хотя и менее распространена, набирает популярность в среде разработчиков AI-решений. Утечка доступа к рабочим процессам может привести к несанкционированному использованию вычислительных мощностей, а также к утечке данных, обрабатываемых AI-агентами. В целом, четыре уязвимости из разных сегментов - от корпоративного серверного ПО (ColdFusion) до веб-конструкторов и AI-платформ - демонстрируют, что эксплуатационный ландшафт по-прежнему широк. CISA продолжает работать по методологии "активно используемых" уязвимостей, и организации должны оперативно реагировать на такие обновления.
Обновления для всех продуктов уже выпущены. Пользователям и администраторам следует проверить версии используемых компонентов и применить патчи без задержки. В дополнение к установке исправлений рекомендуется настроить веб-приложения таким образом, чтобы ограничить возможность загрузки файлов на сервер, а также включить строгие проверки аутентификации для API-эндпоинтов, как в случае с Langflow.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-48282
- https://www.cve.org/CVERecord?id=CVE-2026-56290
- https://www.cve.org/CVERecord?id=CVE-2026-55255
- https://www.cve.org/CVERecord?id=CVE-2026-48908
- https://www.cisa.gov/news-events/alerts/2026/07/07/cisa-adds-three-known-exploited-vulnerabilities-catalog
- https://www.cisa.gov/news-events/alerts/2026/07/07/cisa-adds-one-known-exploited-vulnerability-catalog