Агентство по кибербезопасности и защите инфраструктуры США (CISA) во вторник пополнило каталог известных эксплуатируемых уязвимостей — Known Exploited Vulnerabilities, или сокращённо KEV — сразу четырьмя новыми записями. Основание простое и тревожное: все четыре бага уже используются злоумышленниками в реальных атаках, а не лежат где-то в теории. Федеральным гражданским ведомствам (FCEB) предписано закрыть дыры до 10 июля 2026 года — срок формально не горит, но история показывает, что публикация в KEV почти всегда означает всплеск сканирований и попыток эксплуатации со стороны всех, кто читает бюллетени CISA не хуже самих федералов.

Первая и, пожалуй, самая показательная история — CVE-2026-48282 в Adobe ColdFusion, уязвимость обхода пути (path traversal) с максимальным баллом CVSS 10.0. Она позволяет выполнять произвольный код в контексте текущего пользователя. Исследователь Райан Дьюхерст, основатель проекта KEVIntel, зафиксировал: эксплуатация началась буквально спустя несколько часов после публичного раскрытия деталей уязвимости. Атакующий IP-адрес — 103.207.14.220 — геолоцирован в Индии. Скорость реакции злоумышленников тут показательна: окно между раскрытием и первой атакой измерялось часами, а не днями, как это часто бывает с менее популярными продуктами.
Вторая уязвимость касается плагина Joomlack Page Builder — CVE-2026-56290, тоже с максимальным CVSS 10.0, но уже связанная с некорректным контролем доступа. Проблема серьёзная: неаутентифицированный пользователь может загрузить произвольный файл и получить удалённое выполнение кода. Сервис , который занимается администрированием сайтов на Joomla и WordPress, зафиксировал эксплуатацию к 27 июня 2026 года. Атакующие заливали веб-шеллы. Один из обнаруженных экземпляров лежал по пути /media/com_pagebuilderck/gfonts/bhup.php, а сам загрузчик реагировал на поле $_POST['_upl']. Проблема в том, что злоумышленник сам выбирает папку назначения — файл может оказаться где угодно, не обязательно в стандартной директории для загрузок. Поэтому администраторам советуют проверять не только /media/com_pagebuilderck/, но и /images, /media, /templates и /administrator. Исправление вышло в версии Page Builder CK 3.6.0.
Третья запись — история сложнее и интереснее. CVE-2026-55255 в Langflow, платформе для построения AI-агентов и оркестрации LLM-цепочек, получила CVSS всего 6.1, но именно она стала центром довольно изощрённой кампании. Это уязвимость типа IDOR — обход авторизации через контролируемый пользователем ключ. Простыми словами: аутентифицированный атакующий может выполнить чужой flow, просто указав идентификатор чужого потока, принадлежащего другому пользователю. О проблеме сообщила компания Sysdig в конце прошлого месяца. Атаку с единственного IP-адреса 45.207.216.55 отследили как действия одного оператора, действовавшего в одиночку.
Что делает эту историю особенно любопытной — комбинация уязвимостей. Атакующий использовал CVE-2026-55255 вместе с другой дырой в Langflow, CVE-2026-33017 — неаутентифицированной RCE. Кампания шла с 22 по 25 июня 2026 года, а ключевая последовательность действий развернулась 25 июня: сначала разведка приложения и системы аутентификации, затем перечисление доступных flow, потом эксплуатация IDOR через CVE-2026-55255, и наконец — устойчивый цикл эксплуатации RCE через CVE-2026-33017 с попытками установить исходящие соединения. Исследователь Sysdig Майкл Кларк оценил кампанию как оппортунистическую и финансово мотивированную, похожую по почерку на типичные ботнет- и криптоджекинг-атаки, хотя точная конечная полезная нагрузка так и осталась неизвестной.
Самое неприятное здесь — то, ради чего использовался межарендаторный (cross-tenant) IDOR. Через него крали ключи от LLM-провайдеров и AWS-ключи. Кларк из Sysdig сформулировал это так: платформы оркестрации ИИ сами по себе — кладезь учётных данных, и оператор атаки это прекрасно понимал. RCE била по хосту, а IDOR — по чужим flow и их ключам.
Четвёртая уязвимость из списка CISA — CVE-2026-48908 в JoomShaper SP Page Builder, снова CVSS 10.0, снова неограниченная загрузка файлов опасного типа. Неаутентифицированные пользователи могли загружать произвольные файлы, включая PHP-код, который потом выполнялся. Уязвимость использовалась как zero-day — то есть эксплуатация началась ещё до публичного раскрытия и патча. Атака выполнялась через HTTP POST-запрос на index.php?option=com_sppagebuilder&task=asset.guru. Исправление доступно в версии 6.6.2 и выше.
Стоит держать в уме, что CVE-2026-55255 — далеко не первая проблема Langflow за последний год. За этот период платформа успела засветиться в связи с целой цепочкой уязвимостей: CVE-2025-3248, CVE-2026-0770, CVE-2026-33017, CVE-2026-21445, CVE-2025-34291 и CVE-2026-5027. Для инструмента, который всё активнее используют для построения агентных AI-систем в компаниях, такая частота находок выглядит настораживающе.
И раз уж речь зашла об агентных системах — на прошлой неделе Sysdig сообщила ещё об одном случае, напрямую связанном с той же экосистемой. Речь о первом известном случае так называемого агентного вымогательства (agentic ransomware) под кодовым именем JADEPUFFER. Схема выглядела так: человек-оператор развернул AI-агента и подготовил для него инфраструктуру, после чего агент самостоятельно вёл всю операцию вымогательства от начала до конца — без постоянного ручного контроля со стороны человека. Для проникновения использовалась всё та же уязвимость Langflow, CVE-2025-3248, из уже упомянутого списка. По сути, это первый задокументированный пример, когда программа-вымогатель работает не по жёстко заданному скрипту, а принимает решения самостоятельно на каждом этапе атаки.

Изображение носит иллюстративный характер
Первая и, пожалуй, самая показательная история — CVE-2026-48282 в Adobe ColdFusion, уязвимость обхода пути (path traversal) с максимальным баллом CVSS 10.0. Она позволяет выполнять произвольный код в контексте текущего пользователя. Исследователь Райан Дьюхерст, основатель проекта KEVIntel, зафиксировал: эксплуатация началась буквально спустя несколько часов после публичного раскрытия деталей уязвимости. Атакующий IP-адрес — 103.207.14.220 — геолоцирован в Индии. Скорость реакции злоумышленников тут показательна: окно между раскрытием и первой атакой измерялось часами, а не днями, как это часто бывает с менее популярными продуктами.
Вторая уязвимость касается плагина Joomlack Page Builder — CVE-2026-56290, тоже с максимальным CVSS 10.0, но уже связанная с некорректным контролем доступа. Проблема серьёзная: неаутентифицированный пользователь может загрузить произвольный файл и получить удалённое выполнение кода. Сервис , который занимается администрированием сайтов на Joomla и WordPress, зафиксировал эксплуатацию к 27 июня 2026 года. Атакующие заливали веб-шеллы. Один из обнаруженных экземпляров лежал по пути /media/com_pagebuilderck/gfonts/bhup.php, а сам загрузчик реагировал на поле $_POST['_upl']. Проблема в том, что злоумышленник сам выбирает папку назначения — файл может оказаться где угодно, не обязательно в стандартной директории для загрузок. Поэтому администраторам советуют проверять не только /media/com_pagebuilderck/, но и /images, /media, /templates и /administrator. Исправление вышло в версии Page Builder CK 3.6.0.
Третья запись — история сложнее и интереснее. CVE-2026-55255 в Langflow, платформе для построения AI-агентов и оркестрации LLM-цепочек, получила CVSS всего 6.1, но именно она стала центром довольно изощрённой кампании. Это уязвимость типа IDOR — обход авторизации через контролируемый пользователем ключ. Простыми словами: аутентифицированный атакующий может выполнить чужой flow, просто указав идентификатор чужого потока, принадлежащего другому пользователю. О проблеме сообщила компания Sysdig в конце прошлого месяца. Атаку с единственного IP-адреса 45.207.216.55 отследили как действия одного оператора, действовавшего в одиночку.
Что делает эту историю особенно любопытной — комбинация уязвимостей. Атакующий использовал CVE-2026-55255 вместе с другой дырой в Langflow, CVE-2026-33017 — неаутентифицированной RCE. Кампания шла с 22 по 25 июня 2026 года, а ключевая последовательность действий развернулась 25 июня: сначала разведка приложения и системы аутентификации, затем перечисление доступных flow, потом эксплуатация IDOR через CVE-2026-55255, и наконец — устойчивый цикл эксплуатации RCE через CVE-2026-33017 с попытками установить исходящие соединения. Исследователь Sysdig Майкл Кларк оценил кампанию как оппортунистическую и финансово мотивированную, похожую по почерку на типичные ботнет- и криптоджекинг-атаки, хотя точная конечная полезная нагрузка так и осталась неизвестной.
Самое неприятное здесь — то, ради чего использовался межарендаторный (cross-tenant) IDOR. Через него крали ключи от LLM-провайдеров и AWS-ключи. Кларк из Sysdig сформулировал это так: платформы оркестрации ИИ сами по себе — кладезь учётных данных, и оператор атаки это прекрасно понимал. RCE била по хосту, а IDOR — по чужим flow и их ключам.
Четвёртая уязвимость из списка CISA — CVE-2026-48908 в JoomShaper SP Page Builder, снова CVSS 10.0, снова неограниченная загрузка файлов опасного типа. Неаутентифицированные пользователи могли загружать произвольные файлы, включая PHP-код, который потом выполнялся. Уязвимость использовалась как zero-day — то есть эксплуатация началась ещё до публичного раскрытия и патча. Атака выполнялась через HTTP POST-запрос на index.php?option=com_sppagebuilder&task=asset.guru. Исправление доступно в версии 6.6.2 и выше.
Стоит держать в уме, что CVE-2026-55255 — далеко не первая проблема Langflow за последний год. За этот период платформа успела засветиться в связи с целой цепочкой уязвимостей: CVE-2025-3248, CVE-2026-0770, CVE-2026-33017, CVE-2026-21445, CVE-2025-34291 и CVE-2026-5027. Для инструмента, который всё активнее используют для построения агентных AI-систем в компаниях, такая частота находок выглядит настораживающе.
И раз уж речь зашла об агентных системах — на прошлой неделе Sysdig сообщила ещё об одном случае, напрямую связанном с той же экосистемой. Речь о первом известном случае так называемого агентного вымогательства (agentic ransomware) под кодовым именем JADEPUFFER. Схема выглядела так: человек-оператор развернул AI-агента и подготовил для него инфраструктуру, после чего агент самостоятельно вёл всю операцию вымогательства от начала до конца — без постоянного ручного контроля со стороны человека. Для проникновения использовалась всё та же уязвимость Langflow, CVE-2025-3248, из уже упомянутого списка. По сути, это первый задокументированный пример, когда программа-вымогатель работает не по жёстко заданному скрипту, а принимает решения самостоятельно на каждом этапе атаки.