【漏洞預警】CISA新增6個已知遭駭客利用之漏洞至KEV目錄(2026/07/06-2026/07/12)

教育機構ANA通報平台

發佈編號

TACERT-ANA-2026071601073636

發佈時間

2026-07-16 13:05:37

事故類型

ANA-漏洞預警

發現時間

2026-07-16 13:05:37

影響等級

   

[主旨說明:]【漏洞預警】CISA新增6個已知遭駭客利用之漏洞至KEV目錄(2026/07/06-2026/07/12)

[內容說明:]
轉發   台灣電腦網路危機處理暨協調中心 資安訊息警訊 TWCERTCC-200-202607-00000006  

【CVE-2026-48908】JoomShaper SP Page Builder Unrestricted Upload of File with Dangerous Type Vulnerability (CVSS v3.1: 9.8)
【是否遭勒索軟體利用:未知】 JoomShaper SP Page Builder 存在未受限制的危險類型檔案上傳漏洞,允許未經身分驗證的使用者上傳任意檔案,最終可導致 PHP 程式碼被上傳並執行。    

【CVE-2026-55255】Langflow Authorization Bypass Through User-Controlled Key Vulnerability (CVSS v3.1: 8.4)
【是否遭勒索軟體利用:未知】 Langflow 存在身分驗證繞過漏洞,允許已通過身分驗證的攻擊者在請求中指定受害者的工作流程ID,進而執行任何屬於其他使用者的流程。  

【CVE-2026-56290】Joomlack Page Builder Improper Access Control Vulnerability (CVSS v3.1: 9.8)
【是否遭勒索軟體利用:未知】 Joomlack Page Builder 存在不當存取控制漏洞,可能允許攻擊者透過未經身分驗證的任意檔案上傳實現遠端程式碼執行。    

【CVE-2026-48282】Adobe ColdFusion Path Traversal Vulnerability (CVSS v3.1: 10.0)
【是否遭勒索軟體利用:未知】 Adobe ColdFusion 存在路徑遍歷漏洞,可能導致在當前使用者權限下執行任意程式碼。    

【CVE-2026-56291】Balbooa Forms Unrestricted Upload of File with Dangerous Type Vulnerability (CVSS v3.1: 9.8)
【是否遭勒索軟體利用:未知】 Balbooa Forms 存在未受限制的危險類型檔案上傳漏洞,允許未經身分驗證的任意檔案上傳,進而導致遠端程式碼執行。   

【CVE-2026-48939】iCagenda Unrestricted Upload of File with Dangerous Type Vulnerability (CVSS v3.1: 9.8)
【是否遭勒索軟體利用:未知】 iCagenda 存在未受限制的危險類型檔案上傳漏洞,攻擊者可利用檔案附件功能上傳任意檔案,最終導致 PHP 程式碼被上傳並執行。  

情資分享等級: WHITE(情資內容為可公開揭露之資訊)

[影響平台:]
【CVE-2026-48908】請參考所列影響版本 https://mysites.guru/blog/sp-page-builder-zero-day-uploadcustomicon-rce/   

【CVE-2026-55255】請參考官方所列的影響版本 https://github.com/langflow-ai/langflow/security/advisories/GHSA-qrpv-q767-xqq2   

【CVE-2026-56290】請參考所列影響版本 https://mysites.guru/blog/pagebuilderck-unauthenticated-file-upload-rce/   

【CVE-2026-48282】請參考官方所列的影響版本 https://helpx.adobe.com/security/products/coldfusion/apsb26-68.html   

【CVE-2026-56291】請參考所列影響版本 https://mysites.guru/blog/balbooa-forms-unauthenticated-file-upload-flaw/   

【CVE-2026-48939】請參考所列影響版本 https://mysites.guru/blog/icagenda-zero-day-file-upload-rce/

[建議措施:]
【CVE-2026-48908】 已針對漏洞釋出修復更新,請更新至相關版本 https://mysites.guru/blog/sp-page-builder-zero-day-uploadcustomicon-rce/  

【CVE-2026-55255】 官方已針對漏洞釋出修復更新,請更新至相關版本 https://github.com/langflow-ai/langflow/security/advisories/GHSA-qrpv-q767-xqq2  

【CVE-2026-56290】 已針對漏洞釋出修復更新,請更新至相關版本 https://mysites.guru/blog/pagebuilderck-unauthenticated-file-upload-rce/  

【CVE-2026-48282】 官方已針對漏洞釋出修復更新,請更新至相關版本 https://helpx.adobe.com/security/products/coldfusion/apsb26-68.html  

【CVE-2026-56291】 已針對漏洞釋出修復更新,請更新至相關版本 https://mysites.guru/blog/balbooa-forms-unauthenticated-file-upload-flaw/  

【CVE-2026-48939】 已針對漏洞釋出修復更新,請更新至相關版本 https://mysites.guru/blog/icagenda-zero-day-file-upload-rce/

[參考資料:]

 

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。

教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:Email住址會使用灌水程式保護機制。你需要啟動Javascript才能觀看它

 

DMC Firewall is developed by Dean Marshall Consultancy Ltd