CISA voegt vier actief uitgebuite Adobe-, Joomla- en Langflow-fouten toe aan KEV

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft dinsdag vier beveiligingsfouten toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus, daarbij verwijzend naar bewijs van actieve uitbuiting.

De kwetsbaarheden worden hieronder vermeld:

  • CVE-2026-48282 (CVSS-score: 10,0) – Een kwetsbaarheid bij het doorlopen van paden in Adobe ColdFusion die zou kunnen leiden tot uitvoering van willekeurige code in de context van de huidige gebruiker.
  • CVE-2026-56290 (CVSS-score: 10.0) – Een kwetsbaarheid voor onjuiste toegangscontrole in Joomlack Page Builder die uitvoering van externe code mogelijk maakt via het uploaden van niet-geverifieerde willekeurige bestanden.
  • CVE-2026-55255 (CVSS-score: 6.1) – Een autorisatieomzeiling via een door de gebruiker gecontroleerde sleutelkwetsbaarheid in Langflow waardoor een geverifieerde aanvaller elke stroom van een andere gebruiker kan uitvoeren door de stroom-ID van het slachtoffer in het verzoek op te geven.
  • CVE-2026-48908 (CVSS-score: 10.0) – Een onbeperkte upload van een bestand met een gevaarlijk type kwetsbaarheid in JoomShaper SP Page Builder waarmee niet-geverifieerde gebruikers willekeurige bestanden kunnen uploaden, wat uiteindelijk resulteert in het uploaden en uitvoeren van PHP-code.

Het is vermeldenswaard dat de exploitatie van CVE-2026-48282 binnen enkele uren na de openbaarmaking werd waargenomen, waarbij Ryan Dewhurst, beveiligingsonderzoeker en oprichter van KEVIntel, aan The Hacker News vertelde dat een poging werd geregistreerd vanaf een IP-adres dat zich in India bevond (“103.207.14(.)220”).

CVE-2026-48908 daarentegen zou zijn uitgebuit als een zero-day om een ​​PHP-bestand te uploaden door middel van een HTTP POST-verzoek naar het “index.php?option=com_sppagebuilder&task=asset.uploadCustomIcon”-eindpunt, gevolgd door het verschijnen van een nieuw Super User-account, per mySites.guru. Gebruikers van SP Page Builder wordt geadviseerd om te updaten naar versie 6.6.2 of hoger.

De sitebeheerservice van Joomla en WordPress heeft vanaf 27 juni 2026 ook exploitatie-inspanningen geregistreerd gericht op CVE-2026-56290 om een ​​webshell op gevoelige sites te leveren. Het probleem is verholpen in Page Builder CK versie 3.6.0.

“De eerste bevestigde webshell die we tegenkwamen, bevond zich op /media/com_pagebuilderck/gfonts/bhup.php, een uploader-shell ingetoetst op een $_POST(‘_upl’) veld,” legde mySites.guru uit.

“Omdat de aanvaller door de fout de bestemmingsmap kan kiezen, kan een geplaatst bestand zich overal bevinden, niet alleen in de voor de hand liggende uploadmappen. Zoek dus eerst naar verdwaalde PHP-bestanden onder /media/com_pagebuilderck/ en dan breder onder /images, /media, /templates en /administrator.”

Wat CVE-2026-55255 betreft, onthulde Sysdig eind vorige maand dat het een eenzame operator (“45.207.216(.)55”) had waargenomen die de kwetsbaarheid bewapende samen met CVE-2026-33017, een niet-geauthenticeerde fout bij het uitvoeren van externe code in Langflow, als onderdeel van een aanhoudende campagne die duurde tussen 22 juni en 25 juni 2026.

“Op 25 juni 2026 keerde de operator (45.207.216(.)55) terug naar een op internet blootgestelde Langflow-instantie die ze drie dagen eerder voor het eerst hadden onderzocht en voerde een strakke, methodische sessie uit: applicatie/auth-verkenning → stroomopsomming → de CVE-2026-55255 IDOR → een aanhoudende lus van de CVE-2026-33017 RCE met uitgaande verbindingspogingen, ” zei Michael Clark van Sysdig.

De activiteit wordt beoordeeld als opportunistisch en financieel gemotiveerd. De exploitatie van CVE-2026-33017 wordt gevolgd door de inzet van payloads die zijn ontworpen om een ​​tweede fase downloader op te halen die verantwoordelijk is voor het leveren van aanvullende malware. Deze aanvalsketen komt overeen met botnet- en cryptojacking-aanvallen. Dat gezegd hebbende, is de exacte aard van de uiteindelijke lading onbekend.

Het cloudbeveiligingsbedrijf heeft CVE-2026-55255 beschreven als een geval van cross-tenant onveilige directe objectreferentie (IDOR), die de bedreigingsacteur uitbuitte om grote taalmodel (LLM) providersleutels en AWS-sleutels te stelen.

“AI-orkestratieplatforms zijn op zichzelf al een schat aan referenties, en deze operator wist dat duidelijk”, aldus Sysdig. “De RCE ging achter de gastheer aan, terwijl de IDOR achter de stromen en hun sleutels van andere huurders aan ging.”

Deze ontwikkeling maakt dit de nieuwste Langflow-fout die het afgelopen jaar door slechte actoren is uitgebuit, na CVE-2025-3248, CVE-2026-0770, CVE-2026-33017, CVE-2026-21445, CVE-2025-34291 en CVE-2026-5027.

Vorige week documenteerde Sysdig ook het eerste bekende geval van agentic ransomware waarbij een menselijke operator een kunstmatige agent inzette en de noodzakelijke infrastructuur inrichtte om de agent de hele afpersingsoperatie van begin tot eind te laten afhandelen door misbruik te maken van de CVE-2025-3248 Langflow-fout. Het heeft de codenaam gekregen JADEPUFFER.

In het licht van actieve uitbuiting wordt de federale civiele uitvoerende macht (FCEB) geadviseerd om de oplossingen vóór 10 juli 2026 toe te passen om hun netwerken te beschermen.

Thijs Van der Does