米サイバーセキュリティ機関CISAは火曜日、Adobe ColdFusion、Langflow、そしてJoomlaの2つの拡張機能に存在する脆弱性が実際の攻撃で悪用されていると警告しました。
CVE-2026-48282(CVSSスコア10/10)として追跡されているColdFusionの脆弱性は、Adobeが6月30日にパッチを公開してからわずか数日後に悪用が確認されたと報告されました。これはパストラバーサルの問題で、攻撃者が任意のコードを実行できるようになります。
Langflowのセキュリティ上の欠陥はCVE-2026-55255(CVSSスコア9.9)として追跡されており、テナントをまたいだ安全でない直接オブジェクト参照(IDOR)の脆弱性であると説明されています。攻撃者はフローのUUIDを指定することで、他のユーザーに属するフローを実行できてしまいます。この問題はLangflowバージョン1.9.1で修正されました。
サイバーセキュリティ企業のSysdigは6月26日、この深刻度クリティカルの脆弱性について、当時公開されている概念実証(PoC)エクスプロイトが存在しないにもかかわらず、ハッカーがすでに実際の攻撃での悪用を開始していると警告していました。
観測された攻撃では、脅威アクターがホストの偵察を行い、フローIDを収集した上でそれらのIDを再送信してIDORを引き起こし、さらに3月に修正されたLangflowのリモートコード実行(RCE)脆弱性であるCVE-2026-33017を連鎖させていました。
火曜日、CISAはColdFusionとLangflowのセキュリティ上の欠陥を既知の悪用された脆弱性(KEV)カタログに追加し、連邦政府機関に対して3日以内のパッチ適用を求めました。
さらにCISAは、JoomShaperのSP Page BuilderとJoomlackのPage Builder CKという2つのJoomla拡張機能の脆弱性についても、ハッカーによる悪用が確認されていると警告しています。
SP Page Builderの脆弱性はCVE-2026-48908(CVSSスコア10/10)として追跡されており、認証されていない攻撃者がRCEを達成できる不適切なアクセス制御の問題であると説明されています。
SP Page Builderバージョン6.6.2で修正されたこの脆弱性は、同プラグインのカスタムアイコンアップロード機能に影響し、この機能には認証なしでアクセス可能です。脆弱性のある関数がWebルートフォルダにファイルを書き込むため、Webルートからコードを実行するサーバーではPHPコード実行につながる恐れがあります。
最近の報告によると、脅威アクターはこの脆弱性を悪用してJoomlaのウェブサイトに隠し管理者アカウントを仕込み、PHPファイルマネージャーのバックドアを展開していることが明らかになっています。
CVE-2026-56290(CVSSスコア10/10)として追跡されているPage Builder CKの脆弱性は、認証されていない任意のファイルアップロードの問題で、基盤となるWebサーバー上でのRCEにつながると説明されています。
このセキュリティ上の欠陥は、6月27日にリリースされたPage Builder CKバージョン3.6.0で解決されました。しかしリリースから数時間のうちに、脅威アクターはこの脆弱性を狙ってウェブシェルを仕込む攻撃を開始しました。
BOD 26-04に基づき、連邦政府機関はこれら4つのセキュリティ上の弱点すべてに対し、7月10日までにパッチを適用することが義務付けられています。すべての組織に対して、CISAのKEVリストを確認し、記載されている脆弱性にできるだけ早く対処することが推奨されています。