Introducción

El martes 1 de julio, CISA agregó cuatro vulnerabilidades a su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV), con plazo de parcheo para agencias federales hasta el 10 de julio. Las fallas incluyen dos en Adobe ColdFusion y Langflow, y otras dos en extensiones de Joomla. Lo preocupante no es solo la criticidad (CVSS 9.9 a 10/10), sino que ya están siendo explotadas en ataques reales, algunos documentados por investigadores de Sysdig incluso antes de que existieran pruebas de concepto públicas.

La velocidad con la que se mueven estos actores es crítica: en el caso de Langflow, los atacantes ya encadenaban una vulnerabilidad de ejecución remota de código (RCE) parcheada en marzo (CVE-2026-33017) con la nueva falla de referencia insegura de objeto directo (IDOR) para escalar privilegios. Para equipos de DevOps y seguridad, esto significa que no alcanza con aplicar parches: hay que revisar logs en busca de indicios de compromiso y validar que no hayan dejado backdoors o cuentas de administrador ocultas.

Qué ocurrió

Adobe ColdFusion: una traición en el path traversal

CVE-2026-48282 (CVSS 10/10) es un error de path traversal en Adobe ColdFusion, parcheado por Adobe el 30 de junio en la actualización ColdFusion 2023 Update 7. Sin embargo, CISA confirmó que ya estaba siendo explotado en ataques reales antes de que los parches estuvieran disponibles. La falla permite a atacantes ejecutar código arbitrario en el servidor afectado, lo que en entornos cloud puede derivar en escalamiento de privilegios hasta comprometer instancias completas.

Langflow: de IDOR a RCE en dos pasos

CVE-2026-55255 (CVSS 9.9) es una referencia insegura de objeto directo (IDOR) en Langflow, una herramienta de orquestación de flujos de trabajo basada en Python y Rust. Aunque parcheada en la versión 1.9.1 (disponible desde el 25 de junio), investigadores de Sysdig observaron ataques que:

  1. Realizaban reconocimiento de hosts en la red objetivo.
  2. Recolectaban UUIDs de flujos mediante técnicas de enumeración.
  3. Reproducían esos UUIDs para acceder a flujos de otros usuarios (IDOR).
  4. Encadenaban la explotación con CVE-2026-33017 (RCE en Langflow, parcheada en marzo), logrando ejecución remota de código completa.

Joomla: RCE sin autenticación en dos extensiones populares

CISA también incluyó dos vulnerabilidades en extensiones de Joomla:

  • CVE-2026-48908 (CVSS 10/10) en SP Page Builder by JoomShaper (versión parcheada: 6.6.2). Afecta a la función de subida de íconos, accesible sin autenticación. La falla permite escribir archivos en el directorio raíz web, lo que lleva a ejecución de código PHP. Los atacantes ya están explotándola para:
– Crear cuentas de administrador ocultas.

– Desplegar backdoors como gestores de archivos PHP.

  • CVE-2026-56290 (CVSS 10/10) en Page Builder CK by Joomlack (versión parcheada: 3.6.0). Es un fallo de subida arbitraria de archivos sin autenticación, que también permite RCE en el servidor web. Los atacantes están explotándolo horas después de que se publicara el parche, desplegando web shells para persistencia.

Impacto para DevOps / Infraestructura / Cloud / Seguridad

Riesgo de compromiso en entornos cloud

Para equipos de DevOps e infraestructura cloud, el impacto es doble:

  1. Exposición de servicios: ColdFusion suele correr en servidores web con acceso a bases de datos y APIs internas. Una explotación exitosa puede llevar a:
– Robo de credenciales almacenadas en variables de entorno.

– Movimiento lateral hacia otros servicios en la misma VPC (en AWS, por ejemplo, mediante roles IAM mal configurados).

  1. Persistencia: Los atacantes ya están dejando backdoors en Joomla (como el gestor de archivos PHP) y cuentas de administrador ocultas. Esto implica que, incluso después de parchear, los equipos deben:
– Auditar accesos no autorizados en los últimos 30 días.

– Buscar archivos .php sospechosos en /var/www/html o directorios equivalentes.

– Revisar logs de autenticación en Joomla (ubicación típica: /administrator/logs).

Carga operativa para SRE y equipos de seguridad

Para SRE y equipos de seguridad, las cuatro vulnerabilidades requieren una respuesta inmediata:

  • Tiempo de respuesta: CISA exige parcheo en 72 horas para agencias federales. En entornos privados, el plazo recomendado es 24-48 horas, dado que los exploits ya están circulando.
  • Recursos afectados: Según el catálogo KEV de CISA, estos sistemas son comunes en:
– Servidores web empresariales (ColdFusion).

– Plataformas de automatización de flujos (Langflow).

– Sitios en Joomla con extensiones SP Page Builder o Page Builder CK (más de 200.000 instalaciones combinadas, según datos de Joomla Extensions Directory).

Vector de ataque y mitigación prioritaria

El vector más crítico es el explotación sin autenticación, presente en:

  • Langflow (IDOR + RCE encadenada).
  • Joomla (subida de archivos arbitrarios).
Para mitigar:
  • ColdFusion: Aplicar el parche APSB23-30 y restringir acceso a /CFIDE/administrator mediante firewalls de aplicación (WAF).
  • Langflow: Actualizar a 1.9.1 y auditar flujos existentes en busca de UUIDs manipulados.
  • Joomla: Parchear ambas extensiones y revisar permisos en /images/ y /media/ (directorios típicos para subida de archivos).

Detalles técnicos

CVE-2026-48282: Path traversal en Adobe ColdFusion

  • Versiones afectadas: ColdFusion 2023 antes de Update 7, ColdFusion 2021 antes de Update 13.
  • Vector de ataque: Un atacante envía una petición HTTP con un path como ../../../../../../etc/passwd en el parámetro de una API vulnerable.
  • Exploit conocido: Según Adobe Security Bulletin APSB23-30, el fallo existe en el manejo de rutas relativas en el componente FileUploadServlet.
  • Comando de verificación:
  curl -v "http://<IP_ColdFusion>/CFIDE/scripts/ajax/ckeditor/plugins/filemanager/filemanager.php?type=Image&dir=../../../../../../etc/&command=open&lang=../../../../../../etc/passwd"
  

Si devuelve el contenido de /etc/passwd, el sistema está vulnerable.

CVE-2026-55255: IDOR en Langflow

  • Versiones afectadas: Langflow antes de 1.9.1.
  • Vector de ataque: Un atacante envía una petición GET a /api/v1/flows/<UUID> con un UUID ajeno, aprovechando que el endpoint no valida ownership.
  • Exploit conocido: Los atacantes recolectan UUIDs mediante un endpoint de lista de flujos (/api/v1/flows) y luego los reutilizan para acceder a flujos de otros usuarios.
  • Código de explotación (PoC simplificado):
  import requests
  TARGET = "http://<IP_Langflow>:7860"
  FLOW_UUID = "<UUID_VICTIMA>"
  response = requests.get(f"{TARGET}/api/v1/flows/{FLOW_UUID}")
  print(response.json())  # Contiene datos del flujo de la víctima
  

CVE-2026-48908: RCE en SP Page Builder

  • Versiones afectadas: SP Page Builder antes de 6.6.2.
  • Vector de ataque: Subida de un archivo PHP mediante la función de subida de íconos, que escribe directamente en /images/icons/ (accesible desde web).
  • Exploit conocido: Los atacantes suben un archivo shell.php y luego acceden a http://<IP_Joomla>/images/icons/shell.php para ejecutar comandos.
  • Comando para detectar compromiso:
  find /var/www/html -name "*.php" -type f -exec grep -l "system\|passthru\|exec" {} \;
  

CVE-2026-56290: Subida arbitraria en Page Builder CK

  • Versiones afectadas: Page Builder CK antes de 3.6.0.
  • Vector de ataque: Envío de una petición POST a /index.php?option=com_pagebuilderck&task=pagebuilderck.upload con un archivo PHP malicioso.
  • Exploit conocido: Los atacantes despliegan web shells en /media/pagebuilderck/ y crean una cuenta de administrador oculta añadiendo registros a la tabla #__users de Joomla.
  • Consulta SQL para detectar cuentas ocultas:
  SELECT * FROM #__users WHERE username NOT LIKE 'admin%' AND lastvisitDate > DATE_SUB(NOW(), INTERVAL 7 DAY);
  

Qué deberían hacer los administradores y equipos técnicos

Paso 1: Identificar sistemas afectados

  1. ColdFusion:
   dpkg -l | grep coldfusion  # Debian/Ubuntu
   rpm -qa | grep -i coldfusion # RHEL/CentOS
   

O en AWS, buscar instancias con el AMI de ColdFusion (buscar en EC2 con el tag Application: ColdFusion).

  1. Langflow:
   pip show langflow | grep Version  # Si se instaló via pip
   docker ps | grep langflow       # Si se ejecuta en contenedores
   
  1. Joomla:
   find /var/www -name "com_sppagebuilder" -type d  # SP Page Builder
   find /var/www -name "com_pagebuilderck" -type d # Page Builder CK
   

Paso 2: Aplicar parches específicos

  • ColdFusion:
  # En sistemas Debian/Ubuntu
  sudo apt update && sudo apt install -y coldfusion-2023-update7
  # En AWS, usar el AMI actualizado o aplicar el parche via Systems Manager
  
  • Langflow:
  pip install --upgrade langflow==1.9.1
  # Si se usa Docker:
  docker pull langflow/langflow:1.9.1
  docker stop langflow && docker rm langflow
  docker run -d -p 7860:7860 langflow/langflow:1.9.1
  
  • Joomla:
– Descargar las versiones parcheadas desde:

SP Page Builder 6.6.2

Page Builder CK 3.6.0

– Instalar manualmente via el gestor de extensiones de Joomla.

Paso 3: Validar mitigaciones y detectar compromisos

  1. ColdFusion:
– Verificar que el endpoint /CFIDE/administrator esté bloqueado en el WAF (ejemplo para AWS WAF):
     Rules:
       - Name: BlockColdFusionAdmin
         Priority: 1
         Action: Block
         Statement:
           ByteMatchStatement:
             SearchString: "/CFIDE/administrator"
             FieldToMatch: URI
             TextTransformations: []
     

– Revisar logs de acceso en /opt/coldfusion2023/cfusion/logs/eventgateway.log.

  1. Langflow:
– Auditar flujos existentes:
     curl -s http://<IP_Langflow>:7860/api/v1/flows | jq '.[] | select(.user_id != "<ID_ADMIN>")'
     

– Buscar procesos sospechosos:

     ps aux | grep -i "nc\|bash\|curl\|wget"
     
  1. Joomla:
– Escanear con herramientas como JoomScan o WPScan (aunque sea para WordPress, detecta rutas Joomla comunes).

– Verificar permisos en /images/ y /media/:

     ls -la /var/www/html/images/
     find /var/www/html/media/ -type f -name "*.php"
     

Paso 4: Implementar controles adicionales

  • Segmentación de red: Aislar servidores con ColdFusion y Langflow en subnets privadas, con reglas NACL que bloqueen tráfico no autorizado desde internet.
  • Autenticación multifactor: Habilitar MFA en Joomla (extensión como Two Factor Authentication).
  • Monitoreo continuo: Configurar reglas en SIEM para detectar:
– Accesos a /CFIDE/administrator desde IPs no autorizadas.

– Subida de archivos .php en /images/ o /media/.

– Ejecución de comandos como id, whoami, o curl en logs de Langflow.

Conclusión

Las cuatro vulnerabilidades aquí descritas no son solo fallas técnicas: son puertas abiertas a compromisos críticos en sistemas que, en muchos casos, manejan datos sensibles o son parte de cadenas de automatización críticas. La exigencia de CISA de parchearlas en 72 horas no es un capricho: es una respuesta a ataques reales que ya están en curso, algunos con técnicas de escalamiento avanzadas (como el encadenamiento de IDOR + RCE en Langflow).

Para equipos de DevOps, el mensaje es claro: no alcance con aplicar parches. Hay que:

  1. Validar que no hayan dejado backdoors (especialmente en Joomla).
  2. Auditar logs de acceso y ejecución de comandos.
  3. Implementar controles de segmentación y MFA.
  4. Monitorear en tiempo real, porque los atacantes ya saben cómo explotar estas fallas y no van a detenerse.

La ventana de oportunidad para evitar un incidente no es de semanas, sino de horas. Prioricen estos sistemas hoy mismo.

Fuentes

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *