Vulnerabilidades críticas en extensiones de Joomla y Langflow: riesgo de control total del sitio con un solo clic (puntuación 10/10)

Vulnerabilidades críticas en extensiones de Joomla y Langflow: riesgo de control total del sitio con un solo clic (puntuación 10/10)

Esto es lo que deben hacer los administradores ahora mismo.

image

Las autoridades estadounidenses advirtieron sobre tres vulnerabilidades que los atacantes ya están explotando en ataques reales. La Agencia de Seguridad Cibernética y de Infraestructura de EE. UU. añadió los errores peligrosos al catálogo de vulnerabilidades y pidió a las organizaciones instalar las correcciones lo antes posible.

En la lista se incluyó la vulnerabilidad CVE-2026-48908 (10.0 Crítica) en la extensión SP Page Builder para el sistema de gestión de contenidos Joomla. El error permite a un intruso sin una cuenta cargar en el servidor un archivo arbitrario, incluido código malicioso en PHP, y luego ejecutarlo. Un ataque exitoso otorga control total sobre el sitio.

La segunda vulnerabilidad, CVE-2026-55255 (9.9 Crítica), afecta a la plataforma Langflow para crear aplicaciones basadas en inteligencia artificial. Debido a una verificación incorrecta de permisos, un atacante autorizado puede indicar el identificador de un proceso ajeno y ejecutarlo en nombre del propietario. Como resultado, el atacante puede acceder a datos privados, claves y otros secretos almacenados en el sistema.

El tercer problema se registró como CVE-2026-56290 (10.0 Crítica) y se detectó en la extensión Page Builder CK para Joomla. El control de acceso insuficiente permite, sin autenticación, cargar un archivo ejecutable y ejecutar código en el servidor. Ese tipo de ataque también puede permitir la toma completa del sitio.

Las tres vulnerabilidades ya se están usando en ataques; sin embargo, la Agencia no reveló quién está atacando, qué objetivos persiguen ni cuántos sistemas ya están comprometidos. Errores de este tipo se emplean a menudo para acceder a un sistema en la fase inicial de un ataque, especialmente cuando los sitios y servicios vulnerables son accesibles desde internet.

Las agencias civiles federales de Estados Unidos están obligadas a corregir este tipo de vulnerabilidades como prioridad. La directiva BOD 26-04 exige corregir rápidamente las fallas del catálogo que afectan a recursos expuestos y permiten la toma total del sistema. Las agencias también deben comprobar si los atacantes lograron infiltrarse en la infraestructura antes de que se apliquen las actualizaciones.

Los requisitos de la directiva se aplican solo a las entidades federales de EE. UU., pero la Agencia recomienda que todas las organizaciones adopten el mismo enfoque. Los administradores deben comprobar si tienen extensiones y plataformas vulnerables, instalar las correcciones disponibles y revisar los registros de eventos en busca de indicios de intrusiones previas.