EDPB vydal pravidla pro anonymizaci dat a scraping webů pro AI, dokončil pokyny k blockchainu
Do katalogu aktivně zneužívaných zranitelností CISA přibyly čtyři záznamy: kritická díra v Adobe ColdFusion, zneužitelná chyba v nástroji pro tvorbu AI agentů Langflow a dvě téměř identické slabiny v rozšířeních pro tvorbu webů Joomla.
Nejzávažnější je zranitelnost CVE-2026-48282 v Adobe ColdFusion (CVSS 10.0). Jde o path traversal, tedy chybu v omezení přístupu k adresářům, která umožňuje spuštění libovolného kódu v kontextu aktuálně přihlášeného uživatele bez nutné interakce s obětí. Postihuje ColdFusion verze 2025.9, 2023.20 a starší. Adobe vydala opravu v bezpečnostním bulletinu APSB26-68, kterou je potřeba nainstalovat bez odkladu – zejména u serverů dostupných z internetu.
Zranitelnost CVE-2026-55255 (CVSS 9.9) postihuje Langflow, populární open-source nástroj pro skládání AI agentů a pracovních postupů. Jde o takzvaný IDOR (Insecure Direct Object Reference) v endpointu /api/v1/responses: funkce pro načtení pracovního postupu podle jeho identifikátoru neověřovala, zda daný postup skutečně patří přihlášenému uživateli. Útočník tak mohl pouhou znalostí cizího ID spustit cizí pracovní postup, získat přístup k datům, která zpracovává, a čerpat cizí výpočetní prostředky. Chyba je opravená ve verzi Langflow 1.9.1, oprava zavádí důslednou kontrolu vlastnictví na obou způsobech vyhledávání pracovního postupu a cizí požadavky nově vrací neutrální chybu 404 namísto 403, aby útočník nepoznal, že postup vůbec existuje.
Dvojice zranitelností CVE-2026-48908 (rozšíření SP Page Builder od JoomShaper) a CVE-2026-56290 (rozšíření Page Builder CK od Joomlack) má shodné hodnocení CVSS 10.0 a téměř identický princip: obě umožňují neautentizovanému útočníkovi nahrát na server libovolný soubor včetně spustitelného PHP kódu, čímž získá plnou kontrolu nad webem. U obou rozšíření je řešením aktualizace na opravenou verzi; pokud výrobce opravu nevydal, CISA doporučuje provoz rozšíření raději ukončit.

Další články

OkoBot krade seed phrases z Ledgeru a Trezoru: modul SeedHunter útočí zevnitř legitimní aplikace

Nové zranitelnosti v katalogu CISA KEV – vydání 29b

