A agência de cibersegurança dos Estados Unidos (CISA) adicionou, em 7 de julho de 2026, três novas falhas ao Known Exploited Vulnerabilities (KEV) Catalog por estarem sob exploração ativa. Os alvos são extensões de construtores de páginas para Joomla e a plataforma de IA Langflow, softwares presentes em centenas de milhares de sites corporativos e públicos.
As três falhas catalogadas
O catálogo KEV concentra apenas vulnerabilidades com evidência confirmada de uso por atacantes reais, e não riscos teóricos. As três inclusões de 7 de julho de 2026 atingem componentes amplamente adotados na construção de portais Joomla e em pipelines de inteligência artificial de baixo código.
| CVE | Produto afetado | Tipo de falha |
|---|---|---|
| CVE-2026-48908 | JoomShaper SP Page Builder | Upload irrestrito de arquivo perigoso |
| CVE-2026-55255 | Langflow | Bypass de autorização por chave controlável |
| CVE-2026-56290 | Joomlack Page Builder (Page Builder CK) | Controle de acesso impróprio |
Por que essas falhas importam
As três vulnerabilidades compartilham uma característica letal: cada uma abre caminho direto para o servidor web. O upload irrestrito de arquivos no JoomShaper SP Page Builder permite que um atacante remoto envie um script malicioso e o execute no host; o bypass de autorização do Langflow contorna controles de permissão quando o atacante manipula chaves de identificação; e a falha de controle de acesso no Joomlack Page Builder expõe funções administrativas sem autenticação adequada.
O JoomShaper SP Page Builder é um construtor de páginas “arrastar e soltar” para Joomla com mais de 200 mil instalações ativas. O Langflow, por sua vez, é uma plataforma open source de baixo código para montar fluxos de IA e aplicações com recuperação aumentada por geração (RAG), frequente em ambientes corporativos. Joomlack Page Builder, também conhecido como Page Builder CK, atende a milhares de sites Joomla.
Como o ataque acontece
Em uma falha de upload irrestrito, o atacante envia um arquivo com extensão executável disfarçada (por exemplo, um .php renomeado). Se o servidor não valida o tipo MIME nem isola o diretório de upload, o atacante aciona o script pelo navegador e obtém execução de código remoto. A partir daí, ele instala backdoors, rouba credenciais do banco de dados e compromete outros sites hospedados no mesmo servidor.
No Langflow, o bypass de autorização por chave controlável significa que o atacante substitui um identificador de sessão ou recurso por outro válido e acessa contas, projetos ou endpoints de administração que não deveria enxergar. Já o controle de acesso impróprio do Joomlack expõe endpoints internos do plugin a usuários anônimos, permitindo alterar configurações ou injetar conteúdo.
Prazos e o que fazer
A inclusão no KEV dispara o Binding Operational Directive (BOD) 26-04, que obriga agências federais civis dos Estados Unidos a aplicar o patch dentro de prazos fixos e a fazer triagem forense em ativos expostos. Qualquer organização, e não apenas o setor público, deve tratar as três falhas como prioridade máxima de remediação.
- Atualize imediatamente o JoomShaper SP Page Builder, o Joomlack Page Builder e o Langflow para as versões corrigidas pelo fabricante.
- Restrinja uploads: valide o tipo MIME no servidor, bloqueie execução de scripts no diretório de upload e isole o Joomla em container.
- Audite logs em busca de uploads suspeitos, requisições a endpoints administrativos do Page Builder e acessos anômalos a projetos do Langflow.
- Feche a administração do Joomla por IP ou VPN e ative autenticação multifator no painel.