CISA hat am Dienstag vier Schwachstellen in den KEV-Katalog aufgenommen. Die Behörde begründet den Schritt mit Nachweisen, dass die Lücken bereits aktiv ausgenutzt werden. Der Quelltext nennt dabei vier Einträge aus den Bereichen Adobe, Joomla und Langflow.
Für CVE-2026-48282 wurde die Ausnutzung laut Ryan Dewhurst, Sicherheitsforscher und Gründer von KEVIntel, schon binnen Stunden nach der öffentlichen Offenlegung beobachtet. Gegenüber The Hacker News sagte er, ein Angriffsversuch sei von einer IP-Adresse registriert worden, die nach Indien geolokalisiert wurde: 103.207.14[.]220.
Bei CVE-2026-48908 berichtet mySites.guru von einer Zero-Day-Ausnutzung. Demnach wurde über eine HTTP-POST-Anfrage an den Endpunkt „index.php?option=com_sppagebuilder&task=asset.uploadCustomIcon“ eine PHP-Datei hochgeladen. Anschließend tauchte laut dem Dienst ein neues Super-User-Konto auf. Nutzer von SP Page Builder sollen auf Version 6.6.2 oder neuer aktualisieren.
Auch CVE-2026-56290 wird nach Angaben von mySites.guru bereits angegriffen. Der Dienst für die Verwaltung von Joomla- und WordPress-Seiten registrierte seit dem 27. Juni 2026 Ausnutzungsversuche, mit denen auf anfälligen Websites eine Web-Shell abgelegt werden sollte. Behoben wurde das Problem in Page Builder CK Version 3.6.0.
mySites.guru beschreibt den ersten bestätigten Fund so: Die entdeckte Web-Shell lag unter „/media/com_pagebuilderck/gfonts/bhup.php“ und war eine Upload-Shell, die auf das Feld „$_POST[’_upl’]“ setzte. Weil die Schwachstelle dem Angreifer die Wahl des Zielordners erlaube, könne eine abgelegte Datei nicht nur in typischen Upload-Verzeichnissen landen. Der Dienst empfiehlt deshalb, zunächst unter „/media/com_pagebuilderck/“ nach verdächtigen PHP-Dateien zu suchen und danach breiter unter „/images“, „/media“, „/templates“ und „/administrator“.
Für CVE-2026-55255 veröffentlichte Sysdig bereits kürzlich Beobachtungen zu einer andauernden Kampagne zwischen dem 22. und 25. Juni 2026. Dabei habe ein einzelner Akteur mit der IP-Adresse 45.207.216[.]55 die Schwachstelle zusammen mit CVE-2026-33017 ausgenutzt, einer nicht authentifizierten Schwachstelle zur Remotecodeausführung in Langflow.
Sysdigs Michael Clark schildert den Ablauf für den 25. Juni 2026 so: Der Akteur kehrte zu einer im Internet erreichbaren Langflow-Instanz zurück, die er drei Tage zuvor erstmals sondiert hatte, und arbeitete sich systematisch durch Anwendungs- und Authentifizierungsaufklärung, die Auflistung von Flows, anschließend die IDOR-Schwachstelle CVE-2026-55255 und danach in einer dauerhaften Schleife die Remotecodeausführung über CVE-2026-33017 samt ausgehender Verbindungsversuche.
Nach Einschätzung von Sysdig war die Aktivität opportunistisch und finanziell motiviert. Auf die Ausnutzung von CVE-2026-33017 folgte die Bereitstellung von Nutzlasten, die einen Downloader der zweiten Stufe nachladen sollten, über den weitere Schadsoftware ausgeliefert wird. Sysdig hält diese Angriffskette für vereinbar mit Botnet- und Cryptojacking-Angriffen, betont aber zugleich, dass die genaue Art der finalen Nutzlast unbekannt ist.
Die Cloud-Sicherheitsfirma beschreibt CVE-2026-55255 als mandantenübergreifende unsichere direkte Objektreferenz, also einen IDOR-Fall. Der Angreifer habe die Lücke genutzt, um Schlüssel von LLM-Anbietern und AWS-Schlüssel zu stehlen. Sysdig formuliert dazu, Plattformen zur Orchestrierung von KI seien selbst ein Fundus an Zugangsdaten, und der beobachtete Akteur habe das offenkundig gewusst: Die Remotecodeausführung zielte auf den Host, die IDOR-Schwachstelle auf die Flows anderer Mandanten und deren Schlüssel.
CISA setzt für Behörden des Federal Civilian Executive Branch eine Frist bis zum 10. Juli 2026, um die verfügbaren Korrekturen einzuspielen und ihre Netzwerke zu schützen.
