Introducción
El martes 1 de julio, CISA agregó cuatro vulnerabilidades a su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV), con plazo de parcheo para agencias federales hasta el 10 de julio. Las fallas incluyen dos en Adobe ColdFusion y Langflow, y otras dos en extensiones de Joomla. Lo preocupante no es solo la criticidad (CVSS 9.9 a 10/10), sino que ya están siendo explotadas en ataques reales, algunos documentados por investigadores de Sysdig incluso antes de que existieran pruebas de concepto públicas.
La velocidad con la que se mueven estos actores es crítica: en el caso de Langflow, los atacantes ya encadenaban una vulnerabilidad de ejecución remota de código (RCE) parcheada en marzo (CVE-2026-33017) con la nueva falla de referencia insegura de objeto directo (IDOR) para escalar privilegios. Para equipos de DevOps y seguridad, esto significa que no alcanza con aplicar parches: hay que revisar logs en busca de indicios de compromiso y validar que no hayan dejado backdoors o cuentas de administrador ocultas.
Qué ocurrió
Adobe ColdFusion: una traición en el path traversal
CVE-2026-48282 (CVSS 10/10) es un error de path traversal en Adobe ColdFusion, parcheado por Adobe el 30 de junio en la actualización ColdFusion 2023 Update 7. Sin embargo, CISA confirmó que ya estaba siendo explotado en ataques reales antes de que los parches estuvieran disponibles. La falla permite a atacantes ejecutar código arbitrario en el servidor afectado, lo que en entornos cloud puede derivar en escalamiento de privilegios hasta comprometer instancias completas.
Langflow: de IDOR a RCE en dos pasos
CVE-2026-55255 (CVSS 9.9) es una referencia insegura de objeto directo (IDOR) en Langflow, una herramienta de orquestación de flujos de trabajo basada en Python y Rust. Aunque parcheada en la versión 1.9.1 (disponible desde el 25 de junio), investigadores de Sysdig observaron ataques que:
- Realizaban reconocimiento de hosts en la red objetivo.
- Recolectaban UUIDs de flujos mediante técnicas de enumeración.
- Reproducían esos UUIDs para acceder a flujos de otros usuarios (IDOR).
- Encadenaban la explotación con CVE-2026-33017 (RCE en Langflow, parcheada en marzo), logrando ejecución remota de código completa.
Joomla: RCE sin autenticación en dos extensiones populares
CISA también incluyó dos vulnerabilidades en extensiones de Joomla:
- CVE-2026-48908 (CVSS 10/10) en SP Page Builder by JoomShaper (versión parcheada: 6.6.2). Afecta a la función de subida de íconos, accesible sin autenticación. La falla permite escribir archivos en el directorio raíz web, lo que lleva a ejecución de código PHP. Los atacantes ya están explotándola para:
– Desplegar backdoors como gestores de archivos PHP.
- CVE-2026-56290 (CVSS 10/10) en Page Builder CK by Joomlack (versión parcheada: 3.6.0). Es un fallo de subida arbitraria de archivos sin autenticación, que también permite RCE en el servidor web. Los atacantes están explotándolo horas después de que se publicara el parche, desplegando web shells para persistencia.
Impacto para DevOps / Infraestructura / Cloud / Seguridad
Riesgo de compromiso en entornos cloud
Para equipos de DevOps e infraestructura cloud, el impacto es doble:
- Exposición de servicios: ColdFusion suele correr en servidores web con acceso a bases de datos y APIs internas. Una explotación exitosa puede llevar a:
– Movimiento lateral hacia otros servicios en la misma VPC (en AWS, por ejemplo, mediante roles IAM mal configurados).
- Persistencia: Los atacantes ya están dejando backdoors en Joomla (como el gestor de archivos PHP) y cuentas de administrador ocultas. Esto implica que, incluso después de parchear, los equipos deben:
– Buscar archivos .php sospechosos en /var/www/html o directorios equivalentes.
– Revisar logs de autenticación en Joomla (ubicación típica: /administrator/logs).
Carga operativa para SRE y equipos de seguridad
Para SRE y equipos de seguridad, las cuatro vulnerabilidades requieren una respuesta inmediata:
- Tiempo de respuesta: CISA exige parcheo en 72 horas para agencias federales. En entornos privados, el plazo recomendado es 24-48 horas, dado que los exploits ya están circulando.
- Recursos afectados: Según el catálogo KEV de CISA, estos sistemas son comunes en:
– Plataformas de automatización de flujos (Langflow).
– Sitios en Joomla con extensiones SP Page Builder o Page Builder CK (más de 200.000 instalaciones combinadas, según datos de Joomla Extensions Directory).
Vector de ataque y mitigación prioritaria
El vector más crítico es el explotación sin autenticación, presente en:
- Langflow (IDOR + RCE encadenada).
- Joomla (subida de archivos arbitrarios).
- ColdFusion: Aplicar el parche APSB23-30 y restringir acceso a
/CFIDE/administratormediante firewalls de aplicación (WAF). - Langflow: Actualizar a 1.9.1 y auditar flujos existentes en busca de UUIDs manipulados.
- Joomla: Parchear ambas extensiones y revisar permisos en
/images/y/media/(directorios típicos para subida de archivos).
Detalles técnicos
CVE-2026-48282: Path traversal en Adobe ColdFusion
- Versiones afectadas: ColdFusion 2023 antes de Update 7, ColdFusion 2021 antes de Update 13.
- Vector de ataque: Un atacante envía una petición HTTP con un path como
../../../../../../etc/passwden el parámetro de una API vulnerable. - Exploit conocido: Según Adobe Security Bulletin APSB23-30, el fallo existe en el manejo de rutas relativas en el componente
FileUploadServlet. - Comando de verificación:
curl -v "http://<IP_ColdFusion>/CFIDE/scripts/ajax/ckeditor/plugins/filemanager/filemanager.php?type=Image&dir=../../../../../../etc/&command=open&lang=../../../../../../etc/passwd"
Si devuelve el contenido de /etc/passwd, el sistema está vulnerable.
CVE-2026-55255: IDOR en Langflow
- Versiones afectadas: Langflow antes de 1.9.1.
- Vector de ataque: Un atacante envía una petición GET a
/api/v1/flows/<UUID>con un UUID ajeno, aprovechando que el endpoint no valida ownership. - Exploit conocido: Los atacantes recolectan UUIDs mediante un endpoint de lista de flujos (
/api/v1/flows) y luego los reutilizan para acceder a flujos de otros usuarios. - Código de explotación (PoC simplificado):
import requests
TARGET = "http://<IP_Langflow>:7860"
FLOW_UUID = "<UUID_VICTIMA>"
response = requests.get(f"{TARGET}/api/v1/flows/{FLOW_UUID}")
print(response.json()) # Contiene datos del flujo de la víctima
CVE-2026-48908: RCE en SP Page Builder
- Versiones afectadas: SP Page Builder antes de 6.6.2.
- Vector de ataque: Subida de un archivo PHP mediante la función de subida de íconos, que escribe directamente en
/images/icons/(accesible desde web). - Exploit conocido: Los atacantes suben un archivo
shell.phpy luego acceden ahttp://<IP_Joomla>/images/icons/shell.phppara ejecutar comandos. - Comando para detectar compromiso:
find /var/www/html -name "*.php" -type f -exec grep -l "system\|passthru\|exec" {} \;
CVE-2026-56290: Subida arbitraria en Page Builder CK
- Versiones afectadas: Page Builder CK antes de 3.6.0.
- Vector de ataque: Envío de una petición POST a
/index.php?option=com_pagebuilderck&task=pagebuilderck.uploadcon un archivo PHP malicioso. - Exploit conocido: Los atacantes despliegan web shells en
/media/pagebuilderck/y crean una cuenta de administrador oculta añadiendo registros a la tabla#__usersde Joomla. - Consulta SQL para detectar cuentas ocultas:
SELECT * FROM #__users WHERE username NOT LIKE 'admin%' AND lastvisitDate > DATE_SUB(NOW(), INTERVAL 7 DAY);
Qué deberían hacer los administradores y equipos técnicos
Paso 1: Identificar sistemas afectados
- ColdFusion:
dpkg -l | grep coldfusion # Debian/Ubuntu
rpm -qa | grep -i coldfusion # RHEL/CentOS
O en AWS, buscar instancias con el AMI de ColdFusion (buscar en EC2 con el tag Application: ColdFusion).
- Langflow:
pip show langflow | grep Version # Si se instaló via pip
docker ps | grep langflow # Si se ejecuta en contenedores
- Joomla:
find /var/www -name "com_sppagebuilder" -type d # SP Page Builder
find /var/www -name "com_pagebuilderck" -type d # Page Builder CK
Paso 2: Aplicar parches específicos
- ColdFusion:
# En sistemas Debian/Ubuntu
sudo apt update && sudo apt install -y coldfusion-2023-update7
# En AWS, usar el AMI actualizado o aplicar el parche via Systems Manager
- Langflow:
pip install --upgrade langflow==1.9.1
# Si se usa Docker:
docker pull langflow/langflow:1.9.1
docker stop langflow && docker rm langflow
docker run -d -p 7860:7860 langflow/langflow:1.9.1
- Joomla:
– Instalar manualmente via el gestor de extensiones de Joomla.
Paso 3: Validar mitigaciones y detectar compromisos
- ColdFusion:
/CFIDE/administrator esté bloqueado en el WAF (ejemplo para AWS WAF): Rules:
- Name: BlockColdFusionAdmin
Priority: 1
Action: Block
Statement:
ByteMatchStatement:
SearchString: "/CFIDE/administrator"
FieldToMatch: URI
TextTransformations: []
– Revisar logs de acceso en /opt/coldfusion2023/cfusion/logs/eventgateway.log.
- Langflow:
curl -s http://<IP_Langflow>:7860/api/v1/flows | jq '.[] | select(.user_id != "<ID_ADMIN>")'
– Buscar procesos sospechosos:
ps aux | grep -i "nc\|bash\|curl\|wget"
- Joomla:
– Verificar permisos en /images/ y /media/:
ls -la /var/www/html/images/
find /var/www/html/media/ -type f -name "*.php"
Paso 4: Implementar controles adicionales
- Segmentación de red: Aislar servidores con ColdFusion y Langflow en subnets privadas, con reglas NACL que bloqueen tráfico no autorizado desde internet.
- Autenticación multifactor: Habilitar MFA en Joomla (extensión como Two Factor Authentication).
- Monitoreo continuo: Configurar reglas en SIEM para detectar:
/CFIDE/administrator desde IPs no autorizadas.– Subida de archivos .php en /images/ o /media/.
– Ejecución de comandos como id, whoami, o curl en logs de Langflow.
Conclusión
Las cuatro vulnerabilidades aquí descritas no son solo fallas técnicas: son puertas abiertas a compromisos críticos en sistemas que, en muchos casos, manejan datos sensibles o son parte de cadenas de automatización críticas. La exigencia de CISA de parchearlas en 72 horas no es un capricho: es una respuesta a ataques reales que ya están en curso, algunos con técnicas de escalamiento avanzadas (como el encadenamiento de IDOR + RCE en Langflow).
Para equipos de DevOps, el mensaje es claro: no alcance con aplicar parches. Hay que:
- Validar que no hayan dejado backdoors (especialmente en Joomla).
- Auditar logs de acceso y ejecución de comandos.
- Implementar controles de segmentación y MFA.
- Monitorear en tiempo real, porque los atacantes ya saben cómo explotar estas fallas y no van a detenerse.
La ventana de oportunidad para evitar un incidente no es de semanas, sino de horas. Prioricen estos sistemas hoy mismo.
Fuentes
- SecurityWeek: CISA Urges Immediate Patching of Exploited ColdFusion, Langflow, Joomla Flaws
- Adobe Security Bulletin APSB23-30
- Sysdig Threat Report: Langflow IDOR Exploitation
- Joomla Extensions Directory: SP Page Builder
- Joomla Extensions Directory: Page Builder CK
