ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Salı günü dört güvenlik açığını aktif istismar edildiğine dair kanıtlar göstererek Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi. Bu hamle, kurumların bu kusurları belirli bir süre içinde düzeltmelerini zorunlu kılıyor ve siber güvenlik topluluğu için önemli bir uyarı niteliği taşıyor.
Listeye eklenen güvenlik açıkları şunlar: CVE-2026-48282 (CVSS puanı: 10.0) - Adobe ColdFusion'da, geçerli kullanıcı bağlamında rastgele kod yürütülmesine yol açabilen bir yol geçişi (path traversal) güvenlik açığı. CVE-2026-56290 (CVSS puanı: 10.0) - Joomlack Page Builder'da, kimlik doğrulamasız rastgele dosya yüklemesi yoluyla uzaktan kod yürütülmesine izin veren hatalı erişim kontrolü güvenlik açığı. CVE-2026-55255 (CVSS puanı: 6.1) - Langflow'da, kullanıcı tarafından kontrol edilen anahtar aracılığıyla yetkilendirme atlatma güvenlik açığı; kimliği doğrulanmış bir saldırganın istekte kurbanın akış kimliğini belirterek başka bir kullanıcıya ait herhangi bir akışı çalıştırmasına olanak tanıyor. CVE-2026-48908 (CVSS puanı: 10.0) - JoomShaper SP Page Builder'da, tehlikeli türde bir dosyanın kısıtlamasız yüklenmesi güvenlik açığı; kimliği doğrulanmamış kullanıcıların rastgele dosyalar yüklemesine ve sonuçta PHP kodu yüklemesine ve çalıştırmasına izin veriyor.
CVE-2026-48282'nin istismarının, kamuya açıklandıktan sonraki saatler içinde gözlemlendiği ve KEVIntel kurucusu güvenlik araştırmacısı Ryan Dewhurst'in The Hacker News'e, Hindistan'da konumlanmış bir IP adresinden (103.207.14[.]220) bir girişim kaydedildiğini söylediği belirtiliyor. Bu durum, güvenlik açıklarının hızla silah haline getirildiğini ve saldırganların fırsatçı bir şekilde hareket ettiğini gösteriyor.
Öte yandan CVE-2026-48908'in, mySites.guru'ya göre, bir sıfır gün açığı olarak istismar edildiği; 'index.php?option=com_sppagebuilder&task=asset.uploadCustomIcon' uç noktasına HTTP POST isteğiyle bir PHP dosyası yüklendiği ve ardından yeni bir Süper Kullanıcı hesabı oluşturulduğu bildirildi. SP Page Builder kullanıcılarına sürüm 6.6.2 veya daha yenisine güncellemeleri öneriliyor.
Gelecekte Ne Bekleniyor?
Joomla ve WordPress site yöneticisi hizmeti mySites.guru, 27 Haziran 2026 itibarıyla CVE-2026-56290'a yönelik istismar girişimleri kaydetti; bu girişimlerin savunmasız sitelere bir web shell yerleştirmeyi amaçladığı belirtiliyor. Sorun, Page Builder CK sürüm 3.6.0'da giderildi. mySites.guru, 'Yakaladığımız ilk doğrulanmış web shell /media/com_pagebuilderck/gfonts/bhup.php yolundaydı; bu, $_POST['_upl'] alanına bağlı bir yükleyici kabuğuydu' açıklamasında bulundu. Açığın, saldırganın hedef klasörü seçmesine izin vermesi nedeniyle yerleştirilen bir dosyanın herhangi bir yerde olabileceği uyarısı yapıldı; bu nedenle öncelikle /media/com_pagebuilderck/ altında, ardından /images, /media, /templates ve /administrator dizinlerinde başıboş PHP dosyalarının aranması öneriliyor.
CVE-2026-55255'e gelince, Sysdig geçen ay sonlarında tek bir operatörün (45.207.216[.]55) bu güvenlik açığını, Langflow'daki bir diğer kimlik doğrulamasız uzaktan kod yürütme kusuru olan CVE-2026-33017 ile birlikte 22-25 Haziran 2026 tarihleri arasında süren bir kampanyada kullandığını ortaya çıkardı. Sysdig'in araştırmasına göre operatör, 25 Haziran'da daha önce yokladığı bir Langflow örneğine geri döndü ve metodik bir oturum başlattı: uygulama/kimlik doğrulama keşfi, akış numaralandırması, CVE-2026-55255 IDOR istismarı ve ardından giden bağlantı denemeleriyle birlikte CVE-2026-33017 RCE döngüsü. Bu faaliyetin fırsatçı ve finansal motivasyonlu olduğu değerlendiriliyor. CVE-2026-33017 istismarının ardından, ikinci aşama bir indirici getirmek üzere tasarlanmış yükler dağıtılıyor ve bu indirici ek kötü amaçlı yazılımlar yüklüyor. Sysdig, bu saldırı zincirinin botnet ve kripto madenciliği saldırılarıyla tutarlı olduğunu belirtirken, nihai yükün kesin doğasının bilinmediğini ifade etti.
Bu gelişme, Langflow'un son bir yılda CVE-2025-3248, CVE-2026-0770, CVE-2026-33017, CVE-2026-21445, CVE-2025-34291 ve CVE-2026-5027'den sonra kötü niyetli aktörler tarafından istismar edilen en son güvenlik açığı olması nedeniyle dikkat çekiyor. Geçen hafta Sysdig ayrıca, bir insan operatörün yapay bir ajan kullanarak fidye yazılımı saldırısını baştan sona yürüttüğü ilk 'ajanlı fidye yazılımı' vakasını belgeledi. JADEPUFFER kod adı verilen bu saldırıda CVE-2025-3248 Langflow açığı istismar edildi. Tüm bu olaylar ışığında, Federal Sivil Yürütme Organı (FCEB) kurumlarının ağlarını korumak için düzeltmeleri 10 Temmuz 2026'ya kadar uygulamaları öneriliyor.
Kaynak: thehackernews.com