CISA Adds 4 Actively Exploited Adobe, Joomla, and Langflow Flaws to KEV
Mis à jour :
CISA : Ajout de quatre vulnérabilités critiques au catalogue KEV
La CISA a intégré quatre failles activement exploitées à son catalogue Known Exploited Vulnerabilities (KEV), ciblant Adobe ColdFusion, Joomla et Langflow. Ces vulnérabilités permettent diverses attaques, allant de l’exécution de code à distance (RCE) au vol de clés d’identification sensibles.
Vulnérabilités identifiées :
- CVE-2026-48282 (Score CVSS 10.0) : Vulnérabilité de traversée de chemin dans Adobe ColdFusion, permettant l’exécution de code arbitraire.
- CVE-2026-56290 (Score CVSS 10.0) : Problème de contrôle d’accès dans Joomlack Page Builder facilitant une exécution de code à distance via l’envoi de fichiers non authentifié.
- CVE-2026-48908 (Score CVSS 10.0) : Téléchargement de fichier dangereux dans JoomShaper SP Page Builder permettant l’upload et l’exécution de code PHP malveillant par des utilisateurs non authentifiés.
- CVE-2026-55255 (Score CVSS 6.1) : Contournement d’autorisation (IDOR) dans Langflow, permettant à un attaquant d’exécuter des flux tiers et de dérober des clés d’accès (AWS, LLM).
Points clés :
- Exploitation active : Plusieurs de ces failles ont été exploitées comme des “zero-day” pour déployer des web shells, créer des comptes administrateurs ou orchestrer des campagnes de botnets/cryptojacking.
- Ciblage spécifique : L’attaque sur Langflow montre un intérêt croissant des cybercriminels pour les plateformes d’orchestration d’IA, exploitées pour le vol de secrets industriels.
- Campagne JADEPUFFER : L’écosystème Langflow est particulièrement visé, avec des preuves d’utilisation d’agents autonomes pour automatiser des opérations de rançon.
Recommandations :
- Appliquer les correctifs : Les agences fédérales et administrateurs doivent impérativement appliquer les mises à jour avant le 10 juillet 2026.
- Mises à jour logicielles : Passer à la version 6.6.2 ou supérieure pour SP Page Builder, et à la version 3.6.0 pour Page Builder CK.
- Audit post-compromission : Rechercher tout fichier PHP suspect dans les répertoires
/media,/images,/templateset/administratorpour identifier d’éventuelles persistances (web shells).
