
A agência federal americana exige correção até 10 de julho de 2026 para órgãos civis, após confirmação de exploração em produção que já resultou em webshells, execução remota de código e roubo de chaves de nuvem e provedores de LLM.
| Componente | Adobe ColdFusion (CVE-2026-48282), extensão Joomla PageBuilder CK (CVE-2026-56290), plataforma Langflow (CVE-2026-55255, correlacionada a CVE-2026-33017) e JoomShaper SP Page Builder (CVE-2026-48908) |
| Vetor | Path traversal com execução de código no contexto do usuário atual; upload arbitrário de arquivo sem autenticação com controle inadequado de destino; bypass de autorização via identificador de fluxo controlado pelo atacante; upload irrestrito de tipo perigoso via endpoint de ícone customizado |
| Impacto | Execução arbitrária de código, implantação de webshells, criação de conta Super User, execução de fluxos de outros usuários em ambiente multi-inquilino e extração de chaves de provedores de LLM e AWS; três falhas com CVSS 10,0 e uma com 6,1 |
| Prioridade | Aplicar patches oficiais imediatamente, priorizando instâncias expostas à internet; órgãos civis do Executivo Federal dos EUA devem corrigir até 10 de julho de 2026 conforme diretriz da CISA |
| Versões | PageBuilder CK corrigido na versão 3.6.0; SP Page Builder com mitigação a partir da versão 6.6.2 ou superior |
| IoCs | Tentativa pós-divulgação de CVE-2026-48282 a partir de 103.207.14[.]220; campanha Langflow associada ao host 45.207.216[.]55 entre 22 e 25 de junho de 2026 |
A Cybersecurity and Infrastructure Security Agency dos Estados Unidos incorporou quatro vulnerabilidades com evidência de exploração ativa ao catálogo Known Exploited Vulnerabilities. A medida obriga agências civis do ramo executivo federal a tratar a correção como prioridade operacional e sinaliza para o setor privado que essas falhas já deixaram o estágio teórico: há telemetria pública de tentativas logo após a divulgação, webshells confirmados em sites Joomla e cadeias combinadas contra instâncias Langflow expostas na internet.
O conjunto abrange três produtos de ecossistemas distintos — servidor de aplicação comercial, extensões de CMS e plataforma de orquestração de fluxos de IA — mas compartilha um padrão: falhas de validação de caminho, controle de acesso ou tipo de arquivo que permitem que um atacante remoto obtenha execução de código ou acesse recursos pertencentes a outros inquilinos. Três entradas recebem pontuação CVSS máxima 10,0; a falha em Langflow, embora classificada com severidade menor, foi usada em sequência com execução remota não autenticada para ampliar o impacto em ambientes de nuvem.
A inclusão no KEV consolida achados já documentados por pesquisadores e provedores de monitoramento: exploração de ColdFusion horas após o advisory público, uso de zero-day em SP Page Builder com criação de conta privilegiada, entrega de webshell via PageBuilder CK a partir de 27 de junho de 2026 e operação sustentada contra Langflow que combinou enumeração de fluxos, referência insegura a objetos entre inquilinos e loops de execução remota com tentativas de conexão externa.
A falha CVE-2026-48282 em Adobe ColdFusion decorre de path traversal: um requisitante consegue manipular referências de caminho de forma que o servidor resolva arquivos fora do diretório previsto, culminando em execução arbitrária de código no contexto do usuário sob o qual o processo opera. Pesquisadores de inteligência sobre o catálogo KEV registraram tentativa de exploração poucas horas após a divulgação pública, com origem atribuída a endereço geolocalizado na Índia. O evento reforça a janela crítica típica de falhas críticas em stacks amplamente implantados.
Em CVE-2026-56290, o componente PageBuilder CK para Joomla falha no controle de acesso sobre upload de arquivos: um atacante não autenticado pode enviar conteúdo arbitrário e influenciar o diretório de destino. Gestores de sites Joomla e WordPress documentaram esforços de exploração com entrega de webshell. Um artefato confirmado foi posicionado sob o caminho de mídia da extensão, funcionando como shell de upload acionado por campo POST específico. Como o atacante escolhe a pasta de destino, o arquivo malicioso pode residir fora dos diretórios de upload usuais, dificultando triagem baseada apenas em locais óbvios.
A CVE-2026-48908 no SP Page Builder do JoomShaper permite upload irrestrito de tipo perigoso sem autenticação, levando à execução de código PHP no servidor. Relatos indicam exploração como zero-day mediante requisição HTTP POST ao endpoint de upload de ícone customizado do componente, seguida pela aparição de nova conta Super User no Joomla afetado. A sequência combina implantação de código com escalonamento administrativo persistente no CMS.
No Langflow, CVE-2026-55255 é descrita como bypass de autorização por chave controlada pelo usuário: um atacante já autenticado pode executar fluxos pertencentes a outro usuário ao informar o identificador do fluxo da vítima na requisição — comportamento enquadrado como referência insegura a objetos entre inquilinos. Observações de segurança em nuvem correlacionaram essa falha a CVE-2026-33017, execução remota não autenticada na mesma plataforma. Entre 22 e 25 de junho de 2026, um único operador revisitou instância exposta, realizou reconhecimento de autenticação e aplicação, enumerou fluxos, acionou o bypass de autorização e entrou em ciclo sustentado de execução remota com tentativas de conexão de saída. A atividade é avaliada como oportunista e com motivação financeira, com payloads subsequentes voltados a obter um downloader de segundo estágio associado a padrões de botnet e cryptojacking; a natureza exata do estágio final permanece indeterminada. Na mesma campanha, o bypass entre inquilinos foi usado para extrair chaves de provedores de modelos de linguagem e credenciais AWS, enquanto a execução remota visava o host subjacente.
Servidores Adobe ColdFusion acessíveis a partir da rede, instalações Joomla com PageBuilder CK ou SP Page Builder em versões vulneráveis e instâncias Langflow expostas à internet — especialmente ambientes multi-inquilino que armazenam fluxos e segredos de integração com nuvem e IA — compõem o perímetro imediato. Sites que misturam Joomla com extensões de construção de páginas herdaram risco duplo: duas falhas distintas no mesmo ecossistema CMS, ambas com CVSS 10,0 e histórico de implantação de webshell.
Plataformas de orquestração de agentes e fluxos de LLM concentram credenciais de terceiros; a exploração documentada trata esses repositórios como alvo primário de coleta, não apenas o sistema operacional do nó. A CISA vincula a entrada de Langflow no KEV à exploração ativa confirmada, alinhando a prioridade federal ao padrão recorrente de abusos contra essa superfície ao longo do último ano, incluindo campanhas anteriores com outras CVEs da mesma linha de produto.
- Adobe ColdFusion com
CVE-2026-48282— execução no contexto do usuário do serviço - Joomla com PageBuilder CK abaixo da versão 3.6.0 — upload remoto não autenticado com escolha de pasta de destino
- Joomla com SP Page Builder anterior à versão 6.6.2 — upload PHP e criação de Super User
- Langflow autenticado e exposto — execução de fluxos alheios e correlação com RCE não autenticada
CVE-2026-33017 - Agências civis do Executivo Federal dos EUA — prazo de mitigação até 10 de julho de 2026
Em ColdFusion, correlacione tentativas de path traversal em logs de aplicação e do servidor web com picos de processos filhos anômalos logo após requisições a caminhos com sequências de diretório suspeitas. A telemetria pós-divulgação já inclui origem 103.207.14[.]220; use esse indicador como ponto de partida para bloqueio e retrobusca, não como limite da caça.
Para PageBuilder CK, inspecione árvores de mídia da extensão em busca de arquivos PHP recentes e não previstos no inventário de build, começando pelo diretório de fontes da extensão e expandindo para pastas de imagens, mídia, templates e área administrativa do Joomla. Shells baseados em upload via POST costumam deixar rastros em logs de acesso com método POST para caminhos sob com_pagebuilderck, além de entradas de criação ou modificação de arquivo fora de janelas de deploy conhecidas.
No SP Page Builder, monitore requisições POST ao endpoint de upload de ícone customizado do componente e alerte sobre criação súbita de contas Super User ou alterações de perfil administrativo sem ticket de mudança correspondente. Arquivos PHP recém-aparecidos após esse padrão de tráfego reforçam hipótese de exploração da falha de upload irrestrito.
Em Langflow exposto, procure sequências de reconhecimento de autenticação, enumeração de identificadores de fluxo, execução de fluxos fora do perfil do usuário autenticado e bursts de execução remota com conexões de saída para destinos externos. O host 45.207.216[.]55 apareceu em sessão metódica entre 22 e 25 de junho de 2026. Após comprometimento, revise rotação de chaves de provedores de LLM e credenciais AWS referenciadas em fluxos — a campanha documentada priorizou esse tipo de segredo. Audite também instâncias para resíduos de cadeias que buscam downloaders de segundo estágio, compatíveis com uso em botnet ou mineração não autorizada.
- Requisições com manipulação de caminho em ColdFusion seguidas de execução de processo filho
- Arquivos PHP estranhos sob mídia da extensão PageBuilder CK, inclusive fora de diretórios de upload padrão
- POST para endpoint de ícone customizado do SP Page Builder correlacionado a novo Super User
- Uso de flow ID alheio por sessão autenticada em Langflow e loops de RCE com tráfego de saída
- Conexões de origem ou destino envolvendo 103.207.14[.]220 e 45.207.216[.]55 no período citado
A resposta deve seguir a criticidade confirmada pelo KEV: patch primeiro, validação de integridade de arquivos em seguida e rotação de segredos onde houve exposição de Langflow ou comprometimento de CMS. Para órgãos americanos do escopo FCEB, a CISA estabelece 10 de julho de 2026 como data limite para aplicação das correções nas quatro entradas.
Em Joomla, atualize PageBuilder CK para a versão 3.6.0 ou superior e SP Page Builder para 6.6.2 ou posterior antes de qualquer limpeza superficial. Remova webshells e contas administrativas não autorizadas, mas trate a atualização como barreira estrutural — arquivos maliciosos podem reaparecer enquanto a falha permanecer explorável. Em ColdFusion, aplique o advisory do fornecedor para CVE-2026-48282 e restrinja exposição de interfaces administrativas e de aplicação à internet sem necessidade operacional.
Para Langflow, feche exposição pública quando possível, aplique correções para CVE-2026-55255 e para CVE-2026-33017 em conjunto, e invalide chaves de API de LLM e AWS que possam ter sido acessadas via fluxos de outros inquilinos. Revise políticas de autenticação, segregação entre inquilinos e permissões sobre identificadores de fluxo. Considere monitoramento reforçado em ambientes que concentram credenciais de IA, dado o histórico recente de explorações sucessivas na plataforma, incluindo casos documentados de ransomware mediado por agente autônomo explorando falhas anteriores da mesma família de produto.
- Aplicar patches oficiais: ColdFusion (
CVE-2026-48282), PageBuilder CK 3.6.0+, SP Page Builder 6.6.2+, Langflow paraCVE-2026-55255eCVE-2026-33017 - Varredura de integridade em diretórios de mídia, templates e administrador do Joomla após qualquer indício de upload anômalo
- Remoção de webshells e contas Super User não planejadas, com análise forense do período de exposição
- Rotação de chaves de provedores de LLM e AWS em instâncias Langflow multi-inquilino potencialmente afetadas
- Cumprimento do prazo 10 de julho de 2026 para agências civis federais dos EUA e alinhamento de prioridade equivalente em ambientes corporativos expostos
0 Comentários