Bei Adobe ColdFusion geht es um CVE-2026-48282 mit einem CVSS-Wert von 10,0. Adobe hatte Patches am 30. Juni veröffentlicht; nur wenige Tage später wurde die Lücke bereits als aktiv ausgenutzt eingestuft. Laut Beschreibung handelt es sich um ein Path-Traversal-Problem, das die Ausführung von beliebigem Code ermöglicht.

Die zweite neu aufgenommene Schwachstelle betrifft Langflow und wird als CVE-2026-55255 mit einem CVSS-Wert von 9,9 geführt. Beschrieben wird sie als mandantenübergreifende unsichere direkte Objektreferenz, über die Angreifer durch Angabe einer Flow-UUID Abläufe anderer Nutzer ausführen können. Behoben wurde der Fehler in Langflow 1.9.1.

Das Sicherheitsunternehmen Sysdig hatte bereits am 26. Juni gewarnt, dass Angreifer die kritische Langflow-Schwachstelle aktiv ausnutzen, obwohl damals noch kein öffentlicher Proof of Concept vorlag. Bei den beobachteten Angriffen führte ein Bedrohungsakteur zunächst eine Aufklärung des Hosts durch, sammelte Flow-IDs, spielte diese erneut ein, um die IDOR-Schwäche auszulösen, und kombinierte den Angriff anschließend mit CVE-2026-33017. Diese zusätzliche Schwachstelle ist eine Remotecodeausführungslücke in Langflow, die bereits im März geschlossen worden war.

Am Dienstag nahm CISA sowohl die ColdFusion- als auch die Langflow-Lücke in den KEV-Katalog auf und forderte Bundesbehörden auf, sie innerhalb von drei Tagen zu patchen. Zusätzlich warnte die Behörde vor der aktiven Ausnutzung von zwei Schwachstellen in Joomla-Erweiterungen.

Die erste davon betrifft SP Page Builder von JoomShaper. CVE-2026-48908 hat einen CVSS-Wert von 10,0 und wird als fehlerhafte Zugriffskontrolle beschrieben, die nicht authentifizierten Angreifern Remotecodeausführung ermöglicht. Behoben wurde die Lücke in SP Page Builder 6.6.2. Betroffen ist die Funktion zum Hochladen benutzerdefinierter Symbole des Plugins, die ohne Authentifizierung erreichbar ist. Da die verwundbare Funktion Dateien in das Stammverzeichnis der Webanwendung schreibt, kann die Schwachstelle auf Servern, die dort abgelegten Code ausführen, zur Ausführung von PHP-Code führen.

Aktuelle Berichte zeigen laut Vorlage, dass Bedrohungsakteure diese Schwachstelle ausnutzen, um versteckte Administratorkonten auf Joomla-Websites anzulegen und eine PHP-Dateimanager-Hintertür zu installieren.

Die zweite Joomla-bezogene Lücke trägt die Kennung CVE-2026-56290 und ebenfalls einen CVSS-Wert von 10,0. Sie betrifft Page Builder CK von Joomlack und wird als nicht authentifizierter beliebiger Datei-Upload beschrieben, der auf dem zugrunde liegenden Webserver zu Remotecodeausführung führen kann. Der Fehler wurde in Page Builder CK 3.6.0 behoben, das am 27. Juni veröffentlicht wurde. Innerhalb weniger Stunden begannen Bedrohungsakteure demnach, die Lücke anzugreifen, um Webshells zu platzieren.

Nach BOD 26-04 müssen Bundesbehörden alle vier Schwachstellen bis zum 10. Juli schließen. CISA rät darüber hinaus allen Organisationen, die KEV-Liste zu prüfen und die dort aufgeführten Schwachstellen so schnell wie möglich zu beheben.