Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Salı günü Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna dört yeni güvenlik açığı ekledi. Ajans, bu açıkların aktif olarak istismar edildiğine dair kanıtlar bulunduğunu belirtti. Eklenen açıklar arasında Adobe ColdFusion'da bulunan iki yol geçişi zafiyeti (CVE-2026-48282 ve CVE-2026-56290) yer alıyor. Bu açıklar, CVSS puanı 10.0 ile en kritik seviyede değerlendiriliyor ve kimliği doğrulanmamış saldırganların uzaktan kod çalıştırmasına olanak tanıyor.
CVE-2026-48282 zafiyeti, kamuya açıklandıktan saatler içinde istismar edilmeye başlandı. Güvenlik araştırmacısı Ryan Dewhurst, Hindistan merkezli bir IP adresinden (103.207.14[.]220) bu açığı kullanmaya yönelik bir girişim tespit edildiğini açıkladı. Diğer bir kritik açık olan CVE-2026-48908 ise JoomShaper SP Page Builder eklentisinde bulunuyor. Bu zafiyet, kimliği doğrulanmamış kullanıcıların rastgele dosya yüklemesine ve PHP kodu çalıştırmasına izin veriyor. mySites.guru tarafından yapılan analizlerde, saldırganların bu açığı kullanarak HTTP POST isteğiyle kötü amaçlı PHP dosyaları yüklediği ve yeni bir Süper Kullanıcı hesabı oluşturduğu tespit edildi. Kullanıcıların SP Page Builder'ı 6.6.2 sürümüne veya daha yenisine güncellemeleri öneriliyor.
Langflow platformunda ise iki farklı güvenlik açığı aktif olarak istismar ediliyor. CVE-2026-55255 (CVSS 6.1), kimliği doğrulanmış bir saldırganın başka bir kullanıcının akışını çalıştırmasına olanak tanıyan bir yetkilendirme atlama zafiyeti. Sysdig tarafından yapılan incelemelerde, 45.207.216[.]55 IP adresinden hareket eden bir saldırganın 22-25 Haziran 2026 tarihleri arasında bu zafiyeti CVE-2026-33017 ile birlikte kullandığı tespit edildi. Saldırgan, Langflow'un büyük dil modeli (LLM) sağlayıcı anahtarlarını ve AWS anahtarlarını çalmak için çapraz kiracı güvenli olmayan doğrudan nesne referansı (IDOR) zafiyetini kullandı. Sysdig, bu saldırının fırsatçı ve finansal motivasyonlu olduğunu, RCE zafiyetiyle birlikte botnet ve kripto madenciliği saldırılarına benzer bir saldırı zinciri izlediğini belirtti.
CISA, Federal Sivil Yürütme Organı (FCEB) kurumlarına ağlarını korumak için gerekli güncellemeleri 10 Temmuz 2026'ya kadar uygulamalarını tavsiye etti. Ayrıca, Joomla ve WordPress site yöneticileri, 27 Haziran 2026 itibarıyla CVE-2026-56290 zafiyetine yönelik istismar girişimleri tespit edildiğini bildirdi. Bu zafiyet, Page Builder CK eklentisinin 3.6.0 sürümünde giderildi. Güvenlik uzmanları, özellikle /media/com_pagebuilderck/ ve diğer medya dizinlerinde şüpheli PHP dosyalarının aranmasını öneriyor. Bu gelişmeler, Langflow'un son bir yılda CVE-2025-3248, CVE-2026-0770 gibi birçok zafiyetinin istismar edilmesinin ardından geldi. Geçtiğimiz hafta Sysdig, CVE-2025-3248 zafiyetini kullanarak insan operatörün yapay zeka ajanıyla tüm fidye yazılım sürecini yönettiği ilk 'ajanlı fidye yazılımı' vakasını (JADEPUFFER) belgelemişti.