CISA coloca 4 CVEs críticos no KEV: ColdFusion, Langflow e dois plugins Joomla sob exploração ativa
CISA dá prazo de três dias para agências federais patcharem falhas de RCE em Adobe ColdFusion, IDOR cross-tenant em Langflow e uploads sem autenticação em SP Page Builder e Page Builder CK — todos com exploração ativa e web shells no ambiente.
A CISA adicionou quatro vulnerabilidades críticas ao catálogo KEV (Known Exploited Vulnerabilities) nesta terça-feira (8) e deu prazo apertado — até 10 de julho — para agências federais aplicarem os patches. A lista inclui uma falha de path traversal em Adobe ColdFusion com CVSS 10, um IDOR cross-tenant no Langflow que expõe cargas de trabalho de IA generativa, e dois bugs em extensões Joomla que já estão sendo explorados para plantar contas de administrador ocultas e web shells.
O que aconteceu
Segundo alerta oficial da CISA emitido em 8 de julho, quatro CVEs entraram simultaneamente no catálogo KEV — sinal de que os quatro estão sendo ativamente explorados in the wild. O prazo para conformidade sob a Binding Operational Directive 22-01 (agora estendida como BOD 26-04) é de apenas três dias corridos: 10 de julho. Fora do escopo federal, o efeito prático é que qualquer organização com exposição às tecnologias afetadas tem janela mínima para agir antes de os exploits públicos amadurecerem.
O grupo é heterogêneo — vai de um servidor de aplicação legado (ColdFusion) a um framework moderníssimo de orquestração de LLMs (Langflow) — o que reflete a realidade: atacantes exploram tudo o que estiver quebrado, do mainframe da década de 90 ao stack de agentes IA lançado ontem.
Detalhes das vulnerabilidades
- CVE-2026-48282 — Adobe ColdFusion (CVSS 10.0). Path traversal que permite execução arbitrária de código. A Adobe publicou o patch em 30 de junho; a exploração ativa começou em dias. É a repetição do padrão CitrixBleed/ScreenConnect: janela de patch curtíssima, explorações amplas.
- CVE-2026-55255 — Langflow (CVSS 9.9). IDOR cross-tenant: um usuário autenticado consegue executar fluxos que pertencem a outro tenant. Em ambiente SaaS, significa acessar prompts, chaves de API e resultados de execução alheios. Foi corrigido em março, mas segue explorado em instâncias defasadas.
- CVE-2026-48908 — SP Page Builder by JoomShaper (CVSS 10.0). Improper access control no upload de ícones customizados. Sem autenticação, o atacante grava arquivos PHP no web root e obtém RCE. Corrigido na versão 6.6.2. Já está sendo usado para plantar contas ocultas de admin e um PHP file manager backdoor.
- CVE-2026-56290 — Page Builder CK by Joomlack (CVSS 10.0). Upload arbitrário de arquivo sem autenticação, levando a RCE. Corrigido na 3.6.0, publicada em 27 de junho. Web shells começaram a aparecer horas depois do release.
Como os ataques funcionam
Nas duas Joomlas, o padrão é praticamente idêntico ao que vimos em episódios anteriores de plugin WordPress: função de upload esquecida no roteador público, sem checagem de autenticação, escrevendo em diretório executável pelo PHP. O atacante manda um POST forjado, grava um .php, e acessa a URL para disparar o shell. Depois, cria uma conta de admin fora da lista visível — persistência que sobrevive a atualizações parciais e a reinstalações que preservem o banco.
“Os atores de ameaça começaram a explorar o Page Builder CK em questão de horas após a publicação do patch, plantando web shells.” — Relato da CISA no KEV, referente ao CVE-2026-56290
No ColdFusion, o vetor mais provável é o CFAdmin exposto ou algum endpoint CFM/CFC que aceita parâmetros de path. Path traversal com RCE numa aplicação Java tradicional gera reverse shells rapidamente. No Langflow, o vetor é o mais interessante pelo caráter novo: a exploração dá acesso a fluxos de agentes que podem estar conectados a S3, Snowflake, sistemas ERP ou APIs de LLMs pagas — a fatura pós-comprometimento pode ser catastrófica.
Análise
Três leituras importam. Primeira: o tempo entre patch e exploração continua encolhendo. ColdFusion foi patchado em 30 de junho, entrou no KEV em 8 de julho — oito dias entre correção e alerta de exploração ativa em federais. Em ambientes reais, isso significa que aguardar o próximo ciclo de manutenção é a estratégia perdedora. Patch de emergência precisa ser processo, não exceção.
Segunda: a entrada do Langflow no KEV é um marco. Ferramentas de orquestração de LLM ainda são território novo em termos de threat modeling, e muitas equipes as tratam como brinquedos de laboratório. O CVE-2026-55255 é o primeiro caso de exploração em massa que a CISA oficialmente reconhece nesse espaço — e não vai ser o último. Aliás, um relato paralelo da SecurityWeek de ontem já apontou prompt injection crítico em GitHub Agentic Workflows, o que reforça a tendência.
Terceira: extensões de CMS seguem sendo o “elo fraco eterno”. Joomla, WordPress e Drupal têm ecossistemas gigantescos de plugins com manutenção variável. Explorar um plugin popular escala melhor do que atacar o CMS-base. Para o Brasil, onde muitos veículos de mídia regional e sites institucionais rodam Joomla há uma década, o alerta é imediato — o SP Page Builder é onipresente.
Quem está exposto
- Ambientes com Adobe ColdFusion 2021, 2023 ou 2025 sem o hotfix de 30 de junho — priorize se o CFAdmin estiver acessível de fora.
- Deploys de Langflow multi-tenant (SaaS internos, PaaS de IA generativa) em versões anteriores a março de 2026.
- Sites Joomla com SP Page Builder < 6.6.2 ou Page Builder CK < 3.6.0 — comuns em portais de notícia, sites de PMEs e agências públicas de menor porte.
- Provedores de hospedagem multi-tenant que expõem esses plugins como padrão em templates de venda — o dano é multiplicado por cliente.
Recomendações práticas
- Aplique os patches oficiais para ColdFusion (hotfix Adobe de 30/junho), Langflow (release de março/2026), SP Page Builder 6.6.2 e Page Builder CK 3.6.0. Não postergue.
- Verifique indicadores de comprometimento antes de dormir tranquilo: revise contas de admin do Joomla contra sua base autorizada, procure arquivos
.phpcriados recentemente em/tmp/,/uploads/e em pastas de ícone do SP Page Builder, e checar chaves de admin desconhecidas. - Restrinja CFAdmin do ColdFusion a IPs internos via firewall e proxy; se possível, deixe fora da internet pública.
- Instrumente Langflow com logs de execução de flow por tenant e alerte em execuções cross-tenant. Rotacione todas as API keys armazenadas em segredos de flow.
- Consulte a lista completa do KEV em cisa.gov/known-exploited-vulnerabilities-catalog e adote-a como priority queue interna, mesmo sem obrigação legal.
- Para gestores brasileiros, o alerta federal americano vale como sinal — não como exigência. Trate como se a ANPD tivesse falado.
Fonte: SecurityWeek