A agência de cibersegurança dos Estados Unidos (CISA) adicionou, em 7 de julho de 2026, três novas falhas ao Known Exploited Vulnerabilities (KEV) Catalog por estarem sob exploração ativa. Os alvos são extensões de construtores de páginas para Joomla e a plataforma de IA Langflow, softwares presentes em centenas de milhares de sites corporativos e públicos.

As três falhas catalogadas

O catálogo KEV concentra apenas vulnerabilidades com evidência confirmada de uso por atacantes reais, e não riscos teóricos. As três inclusões de 7 de julho de 2026 atingem componentes amplamente adotados na construção de portais Joomla e em pipelines de inteligência artificial de baixo código.

CVE Produto afetado Tipo de falha
CVE-2026-48908 JoomShaper SP Page Builder Upload irrestrito de arquivo perigoso
CVE-2026-55255 Langflow Bypass de autorização por chave controlável
CVE-2026-56290 Joomlack Page Builder (Page Builder CK) Controle de acesso impróprio

Por que essas falhas importam

As três vulnerabilidades compartilham uma característica letal: cada uma abre caminho direto para o servidor web. O upload irrestrito de arquivos no JoomShaper SP Page Builder permite que um atacante remoto envie um script malicioso e o execute no host; o bypass de autorização do Langflow contorna controles de permissão quando o atacante manipula chaves de identificação; e a falha de controle de acesso no Joomlack Page Builder expõe funções administrativas sem autenticação adequada.

O JoomShaper SP Page Builder é um construtor de páginas “arrastar e soltar” para Joomla com mais de 200 mil instalações ativas. O Langflow, por sua vez, é uma plataforma open source de baixo código para montar fluxos de IA e aplicações com recuperação aumentada por geração (RAG), frequente em ambientes corporativos. Joomlack Page Builder, também conhecido como Page Builder CK, atende a milhares de sites Joomla.

Como o ataque acontece

Em uma falha de upload irrestrito, o atacante envia um arquivo com extensão executável disfarçada (por exemplo, um .php renomeado). Se o servidor não valida o tipo MIME nem isola o diretório de upload, o atacante aciona o script pelo navegador e obtém execução de código remoto. A partir daí, ele instala backdoors, rouba credenciais do banco de dados e compromete outros sites hospedados no mesmo servidor.

No Langflow, o bypass de autorização por chave controlável significa que o atacante substitui um identificador de sessão ou recurso por outro válido e acessa contas, projetos ou endpoints de administração que não deveria enxergar. Já o controle de acesso impróprio do Joomlack expõe endpoints internos do plugin a usuários anônimos, permitindo alterar configurações ou injetar conteúdo.

Prazos e o que fazer

A inclusão no KEV dispara o Binding Operational Directive (BOD) 26-04, que obriga agências federais civis dos Estados Unidos a aplicar o patch dentro de prazos fixos e a fazer triagem forense em ativos expostos. Qualquer organização, e não apenas o setor público, deve tratar as três falhas como prioridade máxima de remediação.

  • Atualize imediatamente o JoomShaper SP Page Builder, o Joomlack Page Builder e o Langflow para as versões corrigidas pelo fabricante.
  • Restrinja uploads: valide o tipo MIME no servidor, bloqueie execução de scripts no diretório de upload e isole o Joomla em container.
  • Audite logs em busca de uploads suspeitos, requisições a endpoints administrativos do Page Builder e acessos anômalos a projetos do Langflow.
  • Feche a administração do Joomla por IP ou VPN e ative autenticação multifator no painel.

Fontes