Cerrar menú
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
What's Hot

Cuatro fallas explotadas en CISA, Adobe, Joomla y Langflow agregadas a KEV

Meta acaba de anunciar un nuevo generador de IA, Muse Image, pero los usuarios ya se oponen al uso de fotografías.

Por qué el auge de la IA de código abierto no ha perjudicado a Anthropic… todavía

Facebook X (Twitter) Instagram
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
FySelf Noticias
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
FySelf Noticias
Home»Identidad»Cuatro fallas explotadas en CISA, Adobe, Joomla y Langflow agregadas a KEV
Identidad

Cuatro fallas explotadas en CISA, Adobe, Joomla y Langflow agregadas a KEV

corp@blsindustriaytecnologia.comBy corp@blsindustriaytecnologia.comjulio 8, 2026No hay comentarios4 minutos de lectura
Share Facebook Twitter Pinterest Telegram LinkedIn Tumblr Email Copy Link
Follow Us
Google News Flipboard
Share
Facebook Twitter LinkedIn Pinterest Email Copy Link

Ravi Lakshmanan8 de julio de 2026Seguridad/vulnerabilidades de la IA

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el martes cuatro fallas de seguridad a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), citando evidencia de explotación activa.

Las vulnerabilidades se enumeran a continuación:

CVE-2026-48282 (puntuación CVSS: 10.0): vulnerabilidad de recorrido de ruta de Adobe ColdFusion. Se puede ejecutar código arbitrario en el contexto del usuario actual. CVE-2026-56290 (Puntuación CVSS: 10.0): una vulnerabilidad de control de acceso inadecuado en Joomlack Page Builder podría permitir la ejecución remota de código mediante la carga de archivos arbitrarios no autenticados. CVE-2026-55255 (Puntuación CVSS: 6.1): la omisión de autenticación debido a una vulnerabilidad de la clave de control de usuario en Langflow podría permitir a un atacante autenticado ejecutar un flujo que pertenece a otro usuario especificando el ID del flujo de la víctima en la solicitud. CVE-2026-48908 (Puntuación CVSS: 10.0): un tipo peligroso de vulnerabilidad de carga de archivos sin restricciones en JoomShaper SP Page Builder permite a usuarios no autenticados cargar archivos arbitrarios, lo que en última instancia conduce a la carga y ejecución de código PHP.

En particular, se observó explotación de CVE-2026-48282 a las pocas horas de su publicación. El investigador de seguridad y fundador de KEVIntel, Ryan Dewhurst, dijo a The Hacker News que el intento se registró desde una dirección IP ubicada geográficamente en la India: «103.207.14(.)220».

CVE-2026-48908, por otro lado, se dice que fue explotado como día cero para cargar archivos PHP a través de una solicitud HTTP POST al punto final «index.php?option=com_sppagebuilder&task=asset.uploadCustomIcon», después de lo cual apareció una nueva cuenta de superusuario, según mySites.guru. Si está utilizando SP Page Builder, le recomendamos actualizar a la versión 6.6.2 o posterior.

Los administradores de sitios de Joomla y WordPress también han registrado esfuerzos de explotación dirigidos a CVE-2026-56290 para entregar un shell web a sitios susceptibles a partir del 27 de junio de 2026. Este problema se resuelve en la versión 3.6.0 de PageBuilder CK.

«El primer shell web observado que detectamos estaba ubicado en /media/com_pagebuilderck/gfonts/bhup.php y es un shell de carga ingresado en el campo $_POST(‘_upl’)», explicó mySites.guru.

«Esta falla permite a un atacante elegir la carpeta de destino, lo que potencialmente permite que los archivos se coloquen en cualquier lugar, no solo en el directorio de carga obvio. Por lo tanto, primero busca archivos PHP perdidos en /media/com_pagebuilderck/, y luego busca archivos PHP que están muy extendidos en /images, /media, /templates y /administrator».

Con respecto a CVE-2026-55255, como parte de una campaña en curso que duró del 22 al 25 de junio de 2026, Sysdig a fines del mes pasado identificó un único operador (‘45.207.216(.)55’) que explotaba esta vulnerabilidad junto con CVE-2026-33017, una falla de ejecución remota de código no autenticado en Langflow. reveló que había observado.

«El 25 de junio de 2026, el operador (45.207.216.55) regresó a la instancia de Langflow expuesta a Internet que había investigado por primera vez 3 días antes y detectó Reconocimiento de aplicación/autenticación → Enumeración de flujo → CVE-2026-55255 IDOR → CVE-2026-33017 RCE a través de una conexión saliente. «Realizamos una sesión estricta y sistemática de bucles», afirmó Michael Clarke de Sysdig.

Esta actividad ha sido evaluada como oportunista y financieramente motivada. A la explotación de CVE-2026-33017 le sigue la implementación de una carga útil diseñada para buscar un descargador de segunda etapa responsable de entregar malware adicional. Esta cadena de ataques es consistente con los ataques de botnet y cryptojacking. Sin embargo, se desconoce la naturaleza exacta de la carga útil final.

La empresa de seguridad en la nube describió CVE-2026-55255 como un caso de referencia de objeto directo inseguro (IDOR) entre inquilinos que los actores de amenazas explotaron para robar claves de proveedor de modelo de lenguaje a gran escala (LLM) y claves de AWS.

«Las plataformas de orquestación de IA son en sí mismas minas de oro de credenciales, y este operador claramente lo sabía», dijo Sysdig. «RCE rastreó al host e IDOR rastreó otros flujos de inquilinos y sus claves».

Este desarrollo convierte a esta vulnerabilidad en la última falla de Langflow explotada por partes maliciosas en el último año, después de CVE-2025-3248, CVE-2026-0770, CVE-2026-33017, CVE-2026-21445, CVE-2025-34291 y CVE-2026-5027.

La semana pasada, Sysdig también documentó el primer caso conocido de ransomware basado en agentes, donde un operador humano implementó un agente artificial y proporcionó la infraestructura necesaria para explotar la falla Langflow CVE-2025-3248 para que el agente manejara toda la operación de extorsión de principio a fin. El nombre en clave es JADEPUFFER.

A la luz de la explotación activa, se alienta a las agencias del Poder Ejecutivo Civil Federal (FCEB) a aplicar el parche antes del 10 de julio de 2026 para proteger sus redes.


Source link

#BlockchainIdentidad #Ciberseguridad #ÉticaDigital #IdentidadDigital #Privacidad #ProtecciónDeDatos
Follow on Google News Follow on Flipboard
Share. Facebook Twitter Pinterest LinkedIn Tumblr Email Copy Link
Previous ArticleMeta acaba de anunciar un nuevo generador de IA, Muse Image, pero los usuarios ya se oponen al uso de fotografías.
corp@blsindustriaytecnologia.com
  • Website

Related Posts

RedWing MaaS incluye Android Bank Fraud como un servicio de alquiler de Telegram

julio 7, 2026

La falla de Rogue Agent podría permitir a los atacantes hacerse cargo del chatbot Google Dialogflow CX

julio 7, 2026

La herramienta DEBULL explota el flujo de código de dispositivo de Microsoft para apuntar a cuentas M365

julio 7, 2026
Add A Comment
Leave A Reply Cancel Reply

el último

Cuatro fallas explotadas en CISA, Adobe, Joomla y Langflow agregadas a KEV

Meta acaba de anunciar un nuevo generador de IA, Muse Image, pero los usuarios ya se oponen al uso de fotografías.

Por qué el auge de la IA de código abierto no ha perjudicado a Anthropic… todavía

Microsoft se une a la tendencia de reducción de costos de IA al aumentar la dependencia de modelos propietarios

Publicaciones de tendencia

Suscríbete a las noticias

Suscríbete a nuestro boletín informativo y no te pierdas nuestras últimas noticias.

Suscríbete a mi boletín informativo para recibir nuevas publicaciones y consejos. ¡Manténgase al día!

Noticias Fyself es un medio digital dedicado a brindar información actualizada, precisa y relevante sobre los temas que están moldeando el futuro: economía, tecnología, startups, invenciones, sostenibilidad y fintech.

el último

TwinH Presenta una Tecnología Revolucionaria para Cocinas Inteligentes

¡Conoce a tu gemelo digital! La IA de vanguardia de Europa que está personalizando la medicina

TwinH: El cambio de juego de la IA para servicios legales más rápidos y accesibles

Facebook X (Twitter) Instagram Pinterest YouTube
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
© 2026 noticias.fyself. Designed by noticias.fyself.

Escribe arriba y pulsa Enter para buscar. Pulsa Esc para cancelar.