CISA agrega 4 fallas de Adobe, Joomla y Langflow activamente explotadas a KEV

Ravie Lakshmanan08 de julio de 2026Seguridad/vulnerabilidad de la IA

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el martes agregado cuatro fallos de seguridad a sus vulnerabilidades explotadas conocidas (KEV) catálogo, citando evidencia de explotación activa.

Las vulnerabilidades se enumeran a continuación:

  • CVE-2026-48282 (Puntuación CVSS: 10,0): una vulnerabilidad de recorrido de ruta en Adobe ColdFusion que podría provocar la ejecución de código arbitrario en el contexto del usuario actual.
  • CVE-2026-56290 (Puntuación CVSS: 10.0): una vulnerabilidad de control de acceso inadecuado en Joomlack Page Builder que podría permitir la ejecución remota de código mediante la carga de archivos arbitrarios no autenticados.
  • CVE-2026-55255 (Puntuación CVSS: 6.1): una omisión de autorización a través de una vulnerabilidad de clave controlada por el usuario en Langflow que podría permitir a un atacante autenticado ejecutar cualquier flujo que pertenezca a otro usuario especificando el ID del flujo de la víctima en la solicitud.
  • CVE-2026-48908 (Puntuación CVSS: 10.0): carga sin restricciones de un archivo con una vulnerabilidad de tipo peligroso en JoomShaper SP Page Builder que permite a usuarios no autenticados cargar archivos arbitrarios, lo que en última instancia resulta en la carga y ejecución de código PHP.

Vale la pena señalar que explotación de CVE-2026-48282 se observó pocas horas después de la divulgación pública, y Ryan Dewhurst, investigador de seguridad y fundador de KEVIntel, le dijo a The Hacker News que se registró un intento desde una dirección IP geolocalizada en la India («103.207.14[.]220»).

Ciberseguridad

CVE-2026-48908, por otro lado, se dice que ha sido explotado como día cero para cargar un archivo PHP mediante una solicitud HTTP POST al punto final «index.php?option=com_sppagebuilder&task=asset.uploadCustomIcon», seguido de la aparición de una nueva cuenta de superusuario, según misSitios.guru. Se recomienda a los usuarios de SP Page Builder que actualicen a la versión 6.6.2 o posterior.

El servicio de administración de sitios Joomla y WordPress también registró esfuerzos de explotación dirigidos a CVE-2026-56290 a partir del 27 de junio de 2026, para entregar un shell web en sitios susceptibles. El problema se solucionó en la versión 3.6.0 de Page Builder CK.

«El primer shell web confirmado que detectamos se encontraba en /media/com_pagebuilderck/gfonts/bhup.php, un shell de carga con clave en $_POST[‘_upl’] campo», mySites.guru explicado.

«Debido a que la falla permite al atacante elegir la carpeta de destino, un archivo colocado podría estar en cualquier lugar, no solo en los directorios de carga obvios, así que busque archivos PHP perdidos en /media/com_pagebuilderck/ primero y luego más ampliamente en /images, /media, /templates y /administrator».

En cuanto a CVE-2026-55255, Sysdig reveló A finales del mes pasado observó a un operador solitario («45.207.216[.]55») armando la vulnerabilidad junto con CVE-2026-33017, una falla de ejecución remota de código no autenticado en Langflow, como parte de una campaña sostenida que duró entre el 22 y el 25 de junio de 2026.

«El 25 de junio de 2026, el operador (45.207.216[.]55) regresaron a una instancia de Langflow expuesta a Internet que habían sondeado por primera vez tres días antes y ejecutaron una sesión metódica y exhaustiva: reconocimiento de aplicación/autenticación → enumeración de flujo → el IDOR CVE-2026-55255 → un bucle sostenido del RCE CVE-2026-33017 con intentos de conexión salientes», dijo Michael Clark de Sysdig.

La actividad se considera oportunista y financieramente motivada. A la explotación de CVE-2026-33017 le sigue la implementación de cargas útiles diseñadas para buscar un descargador de segunda etapa responsable de entregar malware adicional. Esta cadena de ataques es consistente con los ataques de botnet y cryptojacking. Dicho esto, se desconoce la naturaleza exacta de la carga útil final.

Ciberseguridad

La empresa de seguridad en la nube ha descrito CVE-2026-55255 como un caso de referencia de objeto directo inseguro (IDOR) entre inquilinos, que el actor de amenazas aprovechó para robar claves de proveedor de modelo de lenguaje grande (LLM) y claves de AWS.

«Las plataformas de orquestación de IA son un tesoro de credenciales por derecho propio, y este operador claramente lo sabía», dijo Sysdig. «El RCE persiguió al anfitrión, mientras que el IDOR persiguió los flujos de otros inquilinos y sus claves».

El desarrollo lo convierte en la última falla de Langflow explotada por malos actores durante el año pasado después de CVE-2025-3248, CVE-2026-0770, CVE-2026-33017, CVE-2026-21445, CVE-2025-34291 y CVE-2026-5027.

La semana pasada, Sysdig también documentó el primer caso conocido de ransomware agente en el que un operador humano implementó un agente artificial y proporcionó la infraestructura necesaria para permitir que el agente manejara toda la operación de extorsión de principio a fin explotando la falla Langflow CVE-2025-3248. ha sido nombrado en clave JADEPUFFER.

A la luz de la explotación activa, se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen las correcciones antes del 10 de julio de 2026 para salvaguardar sus redes.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *