A CISA adicionou quatro vulnerabilidades críticas ao catálogo KEV (Known Exploited Vulnerabilities) nesta terça-feira (8) e deu prazo apertado — até 10 de julho — para agências federais aplicarem os patches. A lista inclui uma falha de path traversal em Adobe ColdFusion com CVSS 10, um IDOR cross-tenant no Langflow que expõe cargas de trabalho de IA generativa, e dois bugs em extensões Joomla que já estão sendo explorados para plantar contas de administrador ocultas e web shells.
Segundo alerta oficial da CISA emitido em 8 de julho, quatro CVEs entraram simultaneamente no catálogo KEV — sinal de que os quatro estão sendo ativamente explorados in the wild. O prazo para conformidade sob a Binding Operational Directive 22-01 (agora estendida como BOD 26-04) é de apenas três dias corridos: 10 de julho. Fora do escopo federal, o efeito prático é que qualquer organização com exposição às tecnologias afetadas tem janela mínima para agir antes de os exploits públicos amadurecerem.
O grupo é heterogêneo — vai de um servidor de aplicação legado (ColdFusion) a um framework moderníssimo de orquestração de LLMs (Langflow) — o que reflete a realidade: atacantes exploram tudo o que estiver quebrado, do mainframe da década de 90 ao stack de agentes IA lançado ontem.
Nas duas Joomlas, o padrão é praticamente idêntico ao que vimos em episódios anteriores de plugin WordPress: função de upload esquecida no roteador público, sem checagem de autenticação, escrevendo em diretório executável pelo PHP. O atacante manda um POST forjado, grava um .php, e acessa a URL para disparar o shell. Depois, cria uma conta de admin fora da lista visível — persistência que sobrevive a atualizações parciais e a reinstalações que preservem o banco.
“Os atores de ameaça começaram a explorar o Page Builder CK em questão de horas após a publicação do patch, plantando web shells.” — Relato da CISA no KEV, referente ao CVE-2026-56290
No ColdFusion, o vetor mais provável é o CFAdmin exposto ou algum endpoint CFM/CFC que aceita parâmetros de path. Path traversal com RCE numa aplicação Java tradicional gera reverse shells rapidamente. No Langflow, o vetor é o mais interessante pelo caráter novo: a exploração dá acesso a fluxos de agentes que podem estar conectados a S3, Snowflake, sistemas ERP ou APIs de LLMs pagas — a fatura pós-comprometimento pode ser catastrófica.
Três leituras importam. Primeira: o tempo entre patch e exploração continua encolhendo. ColdFusion foi patchado em 30 de junho, entrou no KEV em 8 de julho — oito dias entre correção e alerta de exploração ativa em federais. Em ambientes reais, isso significa que aguardar o próximo ciclo de manutenção é a estratégia perdedora. Patch de emergência precisa ser processo, não exceção.
Segunda: a entrada do Langflow no KEV é um marco. Ferramentas de orquestração de LLM ainda são território novo em termos de threat modeling, e muitas equipes as tratam como brinquedos de laboratório. O CVE-2026-55255 é o primeiro caso de exploração em massa que a CISA oficialmente reconhece nesse espaço — e não vai ser o último. Aliás, um relato paralelo da SecurityWeek de ontem já apontou prompt injection crítico em GitHub Agentic Workflows, o que reforça a tendência.
Terceira: extensões de CMS seguem sendo o “elo fraco eterno”. Joomla, WordPress e Drupal têm ecossistemas gigantescos de plugins com manutenção variável. Explorar um plugin popular escala melhor do que atacar o CMS-base. Para o Brasil, onde muitos veículos de mídia regional e sites institucionais rodam Joomla há uma década, o alerta é imediato — o SP Page Builder é onipresente.
.php criados recentemente em /tmp/, /uploads/ e em pastas de ícone do SP Page Builder, e checar chaves de admin desconhecidas.Fonte: SecurityWeek
A segunda maior operadora do Japão fecha a apuração forense de um ataque que expôs…
Elastic Security Labs revela SCMBANKER, kit modular em PowerShell que usa ClickFix, falsa tela azul,…
Modelos de raciocinio pensam sozinhos, mas ainda respondem melhor com prompts bem estruturados. Cinco templates…
Anthropic descreve um workspace silencioso dentro do Claude compativel com a Global Workspace Theory. O…
A startup australiana Springboards apresenta Flint, LLM treinado para gerar respostas realmente diferentes. Como funciona…
PL 2338/2023 corre contra o recesso de agosto. Veja o que esta pendente na Camara,…