BRIEFING DE SEGURIDAD · 10.07.2026 DEENFRES

Práctica e Implementación

Cuatro lagunas en el KEV: una de ellas desvía claves de la nube

Por Alec Chizhik · 10 de julio de 2026 · 7 min de lectura

El 7 de julio, la agencia estadounidense CISA incluyó cuatro vulnerabilidades activamente explotadas en su catálogo KEV y otorgó tres días a sus propias agencias federales para aplicar los parches. Se ven afectados Adobe ColdFusion, dos sistemas de gestión de contenidos Joomla y Langflow, una herramienta para construir agentes de IA. Para los equipos de seguridad alemanes, esta lista no es un mero trámite administrativo estadounidense. Es una señal de priorización.

Lo más importante en resumen

  • Cuatro en un día. CISA enumera ColdFusion, Langflow y dos constructores de páginas Joomla como activos explotados; el plazo para las agencias estadounidenses expiró el 10 de julio.
  • La explotación pesa más que la puntuación. Una entrada en KEV documenta un ataque real. Este es un argumento de parcheo más contundente que un alto valor CVSS por sí solo.
  • Herramientas de IA bajo la mira. Langflow aparece por segunda vez en el catálogo. A través de la vulnerabilidad, los atacantes extrajeron claves de nube e IA.

Relacionado: Type Confusion en V8 de Chrome: La vulnerabilidad que regresa  ·  La puerta trasera en casi todos los contratos de alojamiento web alemán

Cuatro vulnerabilidades, un plazo de tres días

¿Qué es el catálogo CISA-KEV? La lista de Vulnerabilidades Explotadas Conocidas (Known Exploited Vulnerabilities) enumera fallos de seguridad para los cuales la agencia estadounidense CISA ha demostrado una explotación real. Una entrada representa un ataque observado en el campo, corroborado por incidentes reales.

Tres de las cuatro entradas ostentan el valor máximo de 10,0, mientras que el caso Langflow alcanza un 9,9. En Adobe ColdFusion, un error de Path Traversal permite ejecutar código arbitrario; Adobe distribuyó el parche únicamente el 30 de junio. Dos extensiones de Joomla, SP Page Builder y Page Builder CK, pueden ser secuestradas mediante carga de archivos sin necesidad de iniciar sesión. Sin embargo, una entrada destaca especialmente.

Producto CVE CVSS Vulnerabilidad Versión corregida
Adobe ColdFusion CVE-2026-48282 10.0 Path Traversal, ejecución de código Actualización 2025 10 / Actualización 2023 21
Langflow CVE-2026-55255 9.9 Acceso entre inquilinos (IDOR) 1.9.1
SP Page Builder CVE-2026-48908 Carga de archivos sin login, RCE Carga de archivos sin login, RCE 6.6.2
Page Builder CK CVE-2026-56290 10.0 Carga de archivos sin login, RCE 3.6.0

El breve plazo no es casualidad. Desde la nueva directiva BOD 26-04, CISA prioriza según el riesgo en lugar de seguir una ventana temporal fija. Cuando convergen superficie de ataque, estado KEV y daño técnico, solo quedan tres días. Las empresas alemanas no están obligadas por este plazo. No obstante, la señal sobre qué vulnerabilidades se están atacando realmente sigue siendo válida.

Por qué precisamente un kit de construcción de IA

Langflow es una herramienta de código abierto que permite a los equipos ensamblar flujos de trabajo LLM y agentes de IA con clics. Estas instancias suelen alojarse internamente durante el desarrollo, configuradas con credenciales reales. Justo eso las hace valiosas.

La vulnerabilidad CVE-2026-55255 es un error de acceso entre inquilinos. Un atacante ejecuta flujos de trabajo bajo una identificación ajena que no le pertenecen. Investigadores de seguridad de Sysdig observaron cómo los atacantes obtenían así las claves almacenadas mediante prompts: accesos de OpenAI, Anthropic y AWS salieron al exterior. De esta forma, una herramienta de desarrollo comprometida se convierte en un trampolín hacia la nube.

Es notable la repetición. Ya en marzo, Langflow figuraba en el catálogo con otra vulnerabilidad crítica. Esta segunda entrada en pocos meses revela un patrón: las herramientas de desarrollo de IA se convierten en su propia superficie de ataque, a menudo instaladas al margen del departamento de seguridad.

Lo que la entrada significa para los equipos alemanes

Formalmente, el plazo de CISA solo vincula a las agencias federales de EE. UU. En la práctica, muchos equipos alemanes ya tratan el catálogo KEV como un sistema de alerta temprana. Responde a la pregunta que los modelos de puntuación internos dejan abierta: ¿Qué vulnerabilidad está siendo realmente atacada en este momento?

Esta pregunta tiene peso porque la brecha entre ataque y reacción crece. Por qué un alto valor CVSS por sí solo no determina el orden, lo hemos tratado en detalle en otro lugar. Aquí cuenta el punto práctico: Una entrada KEV es la prueba que convierte una tarea opcional en una tarea obligatoria.

119

nuevas vulnerabilidades registra el BSI por día, un aumento del 24 por ciento

43 días

tiempo mediano hasta el parche, aumentado de 32 (Verizon DBIR 2026)

31 %

de los incidentes de seguridad comienzan con una vulnerabilidad explotada (Verizon DBIR 2026)

Quien sopesa 119 nuevas vulnerabilidades por día contra un tiempo de parche de 43 días no puede cerrar todo con la misma rapidez. El catálogo KEV proporciona el criterio para el orden.

El orden para la propia casa

El primer paso es poco espectacular y sin embargo el más importante: saber qué está ocurriendo. Sin un inventario actualizado, cualquier notificación KEV permanece abstracta.

Comprobar inmediatamente

  • Conciliar inventario: ¿Está ejecutándose ColdFusion, Langflow o alguna de las dos extensiones de Joomla en la organización? ¿En qué versión?
  • Instalar parches: ColdFusion 2025 Update 10 o 2023 Update 21, Langflow 1.9.1, SP Page Builder 6.6.2, Page Builder CK 3.6.0.
  • En Langflow, rotar todos los accesos almacenados: OpenAI, Anthropic, AWS y claves de base de datos.
  • Revisar registros: llamadas de carga inesperadas en Joomla, ejecuciones de flujo ajenas en Langflow.
  • Tratar primero las instancias accesibles públicamente, luego los sistemas internos.

En Langflow, el parche no es suficiente. Quien haya tenido en uso la versión afectada debe asumir que las credenciales se han filtrado. La rotación de las claves forma parte del tratamiento, no de un ciclo de mantenimiento posterior.

Preguntas frecuentes

Cada pregunta está cerrada. Un toque desbloquea la respuesta.

¿Qué significa la inclusión en el catálogo KEV?

La CISA solo incluye una vulnerabilidad si se demuestra su explotación real. Por tanto, la entrada confirma un ataque en el mundo real, no un riesgo teórico. Esto la diferencia de una simple puntuación CVSS.

¿Se aplica el plazo de la CISA también a las empresas alemanas?

Legalmente, no. El plazo solo vincula a las agencias federales estadounidenses. Sin embargo, muchos equipos de seguridad alemanes utilizan el catálogo como señal de alerta temprana, ya que demuestra qué vulnerabilidades están siendo atacadas activamente en este momento.

¿Cuál de las cuatro vulnerabilidades es la más urgente?

Depende de la infraestructura propia. Los servidores ColdFusion accesibles públicamente y los sitios Joomla desprotegidos quedan expuestos de inmediato. Langflow merece atención adicional más allá del simple parche debido a las credenciales filtradas.

¿Por qué Langflow es especialmente delicado?

Esta herramienta suele almacenar credenciales reales de IA y la nube, y a menudo se ejecuta al margen de la TI oficial. A través de la vulnerabilidad se podrían extraer estas claves, lo que abriría la puerta a entornos en la nube conectados.

¿Basta con aplicar los parches?

Para ColdFusion y las extensiones de Joomla, el parche cierra la vulnerabilidad. En el caso de Langflow, además, es necesario rotar todas las credenciales almacenadas, ya que podrían haberse visto comprometidas.

Recomendaciones de lectura de la redacción

RecomendaciónRobo de tokens OAuth: Cómo los atacantes burlan la MFARecomendaciónIvanti Connect Secure de nuevo en la CISA KEV: Tercer incidente en 18 mesesRecomendaciónLa vulnerabilidad de Splunk que borra archivos sin inicio de sesión

Más del MBF Media Netzwerk

cloudmagazinPor primera vez se puede observar a una IA pensandoMyBusinessFuturePara fabricantes que quieren más – Cómo la membresía de GTIA fortalece toda la red de sociosDigital ChiefsLa TI decide si el spin-off merece la pena

Fuente de la imagen: Generada por IA (julio de 2026)

Lectura adicional

Una revista de Evernine Media GmbH