
La CISA ha appena inserito nel suo catalogo KEV quattro vulnerabilità già sfruttate in ambiente reale, relative ad Adobe ColdFusion, due estensioni di Joomla e Langflow. Un avviso chiaro: se usi questi servizi, è ora di intervenire per evitare intrusioni o compromissioni.
Cosa è successo
Il 7-8 luglio 2026 la CISA (agenzia statunitense per la cybersecurity) ha aggiunto al suo catalogo “Known Exploited Vulnerabilities” (KEV) quattro falle già attivamente sfruttate:
- CVE‑2026‑48282: vulnerabilità di tipo path traversal in Adobe ColdFusion che permette l’esecuzione arbitraria di codice; viene sfruttata a poche ore dalla pubblicazione della patch, con tentativi registrati da un IP localizzato in India ([thehackernews.com](https://thehackernews.com/2026/07/cisa-adds-4-actively-exploited-adobe.html?hl=en_GB&m=1&utm_source=openai)).
- CVE‑2026‑48908: falla in SP Page Builder (Joomla) che consente upload di file malevoli via POST non autenticato, seguito dalla creazione di un account Super User ([thehackernews.com](https://thehackernews.com/2026/07/cisa-adds-4-actively-exploited-adobe.html?hl=en_GB&m=1&utm_source=openai)).
- CVE‑2026‑56290: vulnerabilità in Page Builder CK (Joomla) che permette upload arbitrario di file e installazione di web shell; sfruttata sin dal 27 giugno ([thehackernews.com](https://thehackernews.com/2026/07/cisa-adds-4-actively-exploited-adobe.html?hl=en_GB&m=1&utm_source=openai)).
- CVE‑2026‑55255: bug di authorization bypass in Langflow (IDOR) che consente all’attaccante autenticato di eseguire flussi altrui, spesso combinato con un’altra falla di esecuzione remota (CVE‑2026‑33017) per rubare chiavi LLM e AWS ([thehackernews.com](https://thehackernews.com/2026/07/cisa-adds-4-actively-exploited-adobe.html?hl=en_GB&m=1&utm_source=openai)).
Perché è importante
Questi problemi non sono ipotetici: sono già sfruttati, e alcuni in pochissimo tempo dalla patch. Le conseguenze sono concrete:
- Compromissione dei server o del sito con web shell o account admin nascosti.
- Possibile furto di credenziali, chiavi API o accesso ai dati da parte di attaccanti.
- Lancio di campagne automatizzate, malware, criptominers, o attacchi botnet.
- Rischio elevato per e-commerce, siti aziendali, o infrastrutture digitali che usano questi componenti.
Cosa fare adesso
- Applica subito gli aggiornamenti: ColdFusion, SP Page Builder (6.6.2+), Page Builder CK (3.6.0+), e Langflow (ultima versione disponibile).
- Controlla il tuo sito/server per file sospetti (ad esempio .php in cartelle media, immagini, templates) oppure nuovi account amministrativi non autorizzati.
- Verifica sistemi Langflow per esecuzioni inusuali, accessi a flussi di altri utenti, o traffico verso servizi cloud.
- Ripristina eventuali credenziali API/API Keys compromesse e rotale. Implementa il principio del privilegio minimo.
- Riduci l’esposizione su internet: limita l’accesso diretto ai servizi vulnerabili con firewall, VPN o reti private.
Come ti aiuta Evo Sistemi
Se vuoi mettere al sicuro il tuo sito o infrastruttura, i servizi di sicurezza informatica di Evo Sistemi includono audit, patching e monitoraggio per individuare subito compromissioni e prevenirle.
Serve un sito sicuro e aggiornato? La nostra realizzazione siti web include configurazioni ottimizzate e difese già integrate.
Hai dubbi su responsabilità legali o GDPR? Il nostro servizio di compliance e GDPR ti affianca per rendere tutto trasparente e conforme.
Parliamone insieme: contattaci quando vuoi, siamo qui per aiutarti.
Domande frequenti
Ho già aggiornato ColdFusion, devo fare altro?
Oltre alla patch, verifica i log per accessi sospetti e controlla che non siano stati installati file o shell dopo la vulnerabilità.
Come trovo web shell installate da Page Builder?
Cerca file .php in cartelle come /media/, /images/, /templates/, /administrator/, specialmente in /media/com_pagebuilderck/.
Langflow è sicuro dopo la patch?
Sì, ma controlla comunque i flussi e le chiavi gestite. Rinnova tutte le credenziali che potrebbero essere state esposte.