cisa patch coldfusion cve 2026 48282 gitlost aws

ColdFusion bucato: scatta l’allarme massimo negli USA per la falla sfruttata dagli hacker

🛡️ Executive Summary

  • CISA ordina la correzione immediata della CVE-2026-48282 in Adobe ColdFusion, già sfruttata attivamente con esecuzione di codice remoto.
  • Il catalogo KEV si amplia con vulnerabilità in JoomShaper, Joomlack e Langflow, tutte utilizzate in campagne reali.
  • Emergono la tecnica GitLost contro workflow agentici di GitHub e una vulnerabilità nel servizio AWS Research and Engineering Studio.

L’agenzia statunitense CISA ha nuovamente accelerato le procedure di risposta alle vulnerabilità imponendo alle agenzie federali civili l’applicazione immediata delle patch per Adobe ColdFusion dopo la conferma dello sfruttamento attivo della CVE-2026-48282. La falla, classificata con punteggio CVSS 10.0, è stata inserita nel catalogo Known Exploited Vulnerabilities (KEV) insieme ad altre tre vulnerabilità che stanno già alimentando campagne offensive contro piattaforme web e strumenti di automazione. Nello stesso periodo il panorama delle minacce si arricchisce di nuovi scenari legati all’intelligenza artificiale, con la tecnica GitLost che prende di mira i workflow agentici di GitHub, mentre AWS pubblica un bollettino di sicurezza dedicato a una vulnerabilità del servizio Research and Engineering Studio (RES). L’insieme di questi eventi conferma come applicazioni web, piattaforme AI e servizi cloud continuino a rappresentare obiettivi privilegiati per gli attori malevoli.

ColdFusion sotto attacco: CISA impone l’aggiornamento entro pochi giorni

La vulnerabilità CVE-2026-48282 interessa Adobe ColdFusion e consente l’esecuzione di codice remoto (RCE) senza autenticazione. Con un punteggio CVSS 10.0, il difetto rientra tra le vulnerabilità più gravi individuate negli ultimi mesi. Secondo CISA, gli attacchi sono iniziati quasi immediatamente dopo la pubblicazione delle patch da parte di Adobe, dimostrando ancora una volta la rapidità con cui gli exploit vengono sviluppati e distribuiti. Il problema interessa ColdFusion 2025 Update 9, ColdFusion 2023 Update 20 e tutte le versioni precedenti vulnerabili. La direttiva federale obbliga le amministrazioni statunitensi ad applicare gli aggiornamenti entro la scadenza fissata dall’agenzia oppure a rimuovere completamente i sistemi vulnerabili dall’esposizione verso Internet. La facilità di sfruttamento, unita all’assenza di requisiti di autenticazione, rende questa vulnerabilità particolarmente pericolosa per tutte le organizzazioni che utilizzano la piattaforma Adobe per applicazioni web aziendali.

Il catalogo KEV si amplia con nuove vulnerabilità web

Annuncio

Oltre a ColdFusion, CISA ha inserito nel catalogo KEV altre tre vulnerabilità già sfruttate in campagne reali. La CVE-2026-56290 interessa Joomlack Page Builder e consente il caricamento arbitrario di file con successiva esecuzione di codice remoto, una tecnica utilizzata dagli attaccanti per installare web shell persistenti. La CVE-2026-48908 colpisce invece JoomShaper SP Page Builder, permettendo a utenti non autenticati di caricare file PHP malevoli e ottenere privilegi amministrativi all’interno del sito. Completa l’elenco la CVE-2026-55255, vulnerabilità di Langflow che consente di aggirare i controlli di autorizzazione eseguendo flussi appartenenti ad altri utenti semplicemente conoscendone l’identificativo.

  • CVE-2026-48908 JoomShaper SP Page Builder Unrestricted Upload of File with Dangerous Type Vulnerability
  • CVE-2026-55255 Langflow Authorization Bypass Through User-Controlled Key Vulnerability  
  • CVE-2026-56290 Joomlack Page Builder Improper Access Control Vulnerability

Secondo le analisi, questo difetto è già stato sfruttato per sottrarre chiavi API di provider LLM, credenziali AWS e altri segreti memorizzati nelle pipeline di automazione. Il quadro conferma una crescente attenzione degli attaccanti verso piattaforme low-code, strumenti AI e applicazioni web ampiamente diffuse.

GitLost sfrutta gli agenti AI di GitHub

Tra le novità più interessanti emerge GitLost, tecnica che prende di mira i GitHub Agentic Workflows attraverso un meccanismo di prompt injection indiretta. L’attacco non sfrutta una vulnerabilità software tradizionale, ma il comportamento degli agenti di intelligenza artificiale incaricati di elaborare richieste pubbliche su repository GitHub. Un aggressore pubblica una normale issue contenente istruzioni formulate in linguaggio naturale che, una volta interpretate dall’agente, possono indurre quest’ultimo ad accedere a repository privati collegati al medesimo token di autenticazione e a pubblicarne il contenuto nei commenti pubblici. Le analisi mostrano che persino semplici istruzioni aggiuntive inserite nel testo dell’issue possono aggirare parte delle protezioni attualmente implementate. Il rischio aumenta nelle organizzazioni che utilizzano agenti AI con privilegi estesi su più repository, evidenziando una nuova superficie di attacco nata con l’integrazione dell’intelligenza artificiale nei processi DevSecOps.

AWS corregge una vulnerabilità nel servizio Research and Engineering Studio

Anche AWS ha pubblicato un aggiornamento di sicurezza relativo al servizio Research and Engineering Studio (RES). La vulnerabilità CVE-2026-14904 deriva da una gestione non corretta dei collegamenti simbolici durante l’accesso ai file e consente a un utente autenticato di leggere file arbitrari presenti sull’istanza cluster-manager. Attraverso la sostituzione della chiave privata SSH con un collegamento simbolico verso altri file del sistema, un attaccante può ottenere accesso a credenziali, configurazioni e dati riservati normalmente accessibili solo all’utente root. Il problema interessa tutte le versioni di AWS RES fino alla 2026.03, mentre AWS raccomanda l’aggiornamento immediato alla versione 2026.06 o successiva. Per gli ambienti che non possono essere aggiornati nell’immediato sono disponibili script temporanei di mitigazione distribuiti direttamente dal provider cloud.

Applicazioni web, AI e cloud diventano i nuovi bersagli prioritari

Le vulnerabilità pubblicate nelle ultime ore mostrano una tendenza ormai evidente. Gli attori malevoli non concentrano più gli sforzi esclusivamente sui sistemi operativi o sui browser, ma puntano sempre più frequentemente su piattaforme applicative, framework di sviluppo, strumenti di automazione e servizi cloud. Adobe ColdFusion, Langflow, GitHub Agentic Workflows e AWS Research and Engineering Studio appartengono a categorie molto diverse, ma condividono un elemento fondamentale: sono componenti che gestiscono dati sensibili e svolgono un ruolo centrale nei processi aziendali. La presenza di vulnerabilità già sfruttate rende essenziale applicare rapidamente gli aggiornamenti, limitare i privilegi concessi agli agenti AI, verificare le autorizzazioni dei servizi cloud e monitorare con particolare attenzione attività anomale su applicazioni esposte verso Internet. In un panorama in cui gli exploit vengono sviluppati poche ore dopo la pubblicazione delle patch, la velocità di risposta continua a rappresentare il principale fattore di difesa contro compromissioni su larga scala.

Iscriviti alla Newsletter

Non perdere le analisi settimanali: Entra nella Matrice Digitale.

Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.

Torna in alto