Cybersecurity

Adobe ColdFusion CVE-2026-48282: un fallo de severidad máxima (CVSS 10) ya bajo ataque — parchea ahora

CVE-2026-48282 es un fallo de path traversal con CVSS 10.0 en Adobe ColdFusion que permite a un atacante no autenticado ejecutar código a través de la red. Adobe lo parcheó el 30 de junio de 2026; ya se está explotando y figura en la lista KEV de CISA. Aquí te explicamos qué es y cómo responder.

Waqas Ahmed Waseer
Waqas Ahmed Waseer 15 jul 2026 6 min de lectura
Adobe ColdFusion CVE-2026-48282: un fallo de severidad máxima (CVSS 10) ya bajo ataque — parchea ahora

Adobe ColdFusion CVE-2026-48282 es un fallo de path traversal de severidad máxima (CVSS 10.0) que permite a un atacante no autenticado acceder a archivos de un servidor ColdFusion a través de la red y ejecutar código en él. Adobe lo parcheó el 30 de junio de 2026; en cuestión de días los atacantes ya lo estaban explotando de forma activa, y CISA lo añadió a su catálogo de Vulnerabilidades Explotadas Conocidas el 7 de julio con un plazo de tres días para el parcheo en las agencias federales. Si gestionas un servidor ColdFusion 2023 o 2025 expuesto a internet, parchearlo es una emergencia, no una tarea para la próxima ventana de mantenimiento.

¿Qué es CVE-2026-48282?

CVE-2026-48282 es una limitación indebida de una ruta a un directorio restringido —path traversal, CWE-22— en Adobe ColdFusion. Un fallo de path traversal permite a un atacante suministrar una ruta manipulada (piensa en ../../) para escapar del directorio en el que se supone que debe estar confinada una aplicación y llegar a archivos en otras partes del sistema. En el caso de ColdFusion, el propio registro de Adobe indica que el fallo "podría dar lugar a la ejecución de código arbitrario en el contexto del usuario actual" y no requiere interacción del usuario. Tiene una puntuación base CVSS 3.1 de 10.0 con el vector AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H: explotable a través de la red, baja complejidad de ataque, sin privilegios, sin interacción del usuario y con un alcance modificado. Afecta a ColdFusion 2025 (Update 9 y anteriores) y a ColdFusion 2023 (Update 20 y anteriores), y está corregido en ColdFusion 2025 Update 10 y ColdFusion 2023 Update 21.

Por qué un fallo de path traversal obtiene un 10 perfecto

La mayoría de los fallos de path traversal solo permiten a un atacante leer archivos a los que no debería acceder, lo cual es grave pero rara vez merece un 10. CVE-2026-48282 alcanza la severidad máxima por la combinación que detalla el vector CVSS: es accesible para cualquiera en la red (PR:N, UI:N), es fácil de desencadenar (AC:L) y el alcance está modificado (S:C), lo que significa que el impacto cruza un límite de seguridad en lugar de permanecer dentro del componente vulnerable. El resultado práctico es la ejecución de código arbitrario. En una plataforma como ColdFusion, un traversal que permite escribir o colocar un archivo suele convertirse en ejecución remota de código (RCE) en cuanto un atacante deposita una plantilla CFML maliciosa en un directorio servido por la web y la solicita. Por eso un fallo de "ruta de archivo" acaba en el mismo nivel de amenaza que un clásico RCE preautenticación como el reciente fallo de Progress Kemp LoadMaster: sin inicio de sesión, una sola solicitud, código en tu servidor.

Ya bajo ataque: la cronología de la explotación

Este pasó del parche a los ataques reales muy rápido. Adobe publicó la corrección el 30 de junio y en un principio informó de que no había explotación conocida, para luego actualizar su aviso reconociendo la explotación en "ataques limitados". El Canadian Centre for Cyber Security señaló que había atacantes usando CVE-2026-48282 el 2 de julio, dos días después de la divulgación, y el fundador de KEVIntel, Ryan Dewhurst, registró intentos de explotación, incluido uno desde una IP en India. CISA lo añadió después al catálogo KEV el martes 7 de julio, ordenando a las agencias federales que parchearan antes del 10 de julio. Y no llegó solo: ese día CISA lo incluyó junto a otros tres fallos explotados activamente, entre ellos dos 10 perfectos más —un fallo de subida de archivos sin autenticación en Joomla SP Page Builder (CVE-2026-56290) y un fallo de JoomShaper (CVE-2026-48908)— además de un bypass de autorización en Langflow (CVE-2026-55255). ColdFusion lleva años apareciendo repetidamente en esa lista KEV, así que trata cualquier instancia expuesta como un objetivo permanente.

¿Estoy afectado y qué se ha corregido?

Si ejecutas ColdFusion 2023 o 2025 y no has aplicado la actualización de finales de junio, asume que eres vulnerable. La corrección es una actualización sencilla de Adobe; lo inusual es la urgencia.

Versión de ColdFusionEstadoAcción
2025, Update 9 o anteriorVulnerableAplica Update 10 de inmediato
2025, Update 10CorregidoEstás parcheado — verifica la compilación
2023, Update 20 o anteriorVulnerableAplica Update 21 de inmediato
2023, Update 21CorregidoEstás parcheado — verifica la compilación
Versiones antiguas / al final de su ciclo de vidaNo habrá correcciónActualiza a una versión con soporte

Aplicar la actualización es solo la mitad del trabajo en un equipo expuesto a internet; como los ataques son anteriores a la mayoría de las ventanas de parcheo, deberías asumir que el compromiso es posible y buscarlo, no limitarte a cerrar la puerta.

Qué hacer ahora

  1. Parchea a ColdFusion 2025 Update 10 o 2023 Update 21 en cada instancia y luego confirma que la compilación en ejecución refleja realmente la actualización.
  2. Saca ColdFusion de la internet abierta. La interfaz de administración y el propio servidor deberían situarse detrás de una VPN, una lista de permitidos (allowlist) o un reverse proxy, y no ser directamente accesibles. La base general de fortalecimiento de nuestra guía de la primera hora segura en un VPS se aplica aquí: minimiza lo que está expuesto antes de preocuparte por cualquier otra cosa.
  3. Busca indicios de compromiso. Como la explotación se adelantó al plazo de la KEV, revisa los directorios servidos por la web en busca de archivos .cfm/.cfml inesperados, examina los registros de acceso en busca de patrones de traversal y solicitudes a rutas extrañas, e inspecciona si hay nuevas tareas programadas o cuentas de administración.
  4. Si no puedes parchear al instante, coloca una regla de WAF o un filtro en el reverse proxy por delante para bloquear secuencias de traversal y restringir el acceso a los endpoints de administración de ColdFusion como medida provisional, nunca como sustituto de la actualización.

Dado que CISA dio a las agencias federales de plazo hasta el 10 de julio, un operador privado de ColdFusion debería medir su respuesta en horas y días, no en semanas. Es la misma pauta que cualquier otro aviso de parcheo urgente, como los zero-days del Patch Tuesday de junio de 2026: actualiza, reduce la exposición y comprueba si alguien entró antes.

Preguntas frecuentes

¿Se está explotando activamente CVE-2026-48282?

Sí. Adobe actualizó su aviso para reconocer la explotación en ataques limitados, el Canadian Centre for Cyber Security señaló el uso activo el 2 de julio, y CISA añadió el fallo a su catálogo de Vulnerabilidades Explotadas Conocidas el 7 de julio. La explotación activa es la razón por la que el plazo de parcheo federal fue de apenas tres días.

¿A qué versiones de ColdFusion necesito actualizar?

ColdFusion 2025 está corregido en Update 10 y ColdFusion 2023 está corregido en Update 21. Cualquier versión en Update 9 (2025) o Update 20 (2023) y anteriores es vulnerable. Las versiones antiguas de ColdFusion que ya han llegado al final de su ciclo de vida no recibirán corrección y deberían actualizarse.

¿Explotar este fallo requiere iniciar sesión?

No. El vector CVSS muestra PR:N y UI:N —sin privilegios y sin interacción del usuario— y el fallo es explotable a través de la red, lo que explica en gran parte por qué obtiene un máximo de 10.0. Cualquier instancia accesible desde internet y sin parchear está en riesgo.

Parcheé tarde: ¿podría estar ya comprometido?

Es posible. Se observaron ataques a los pocos días de la divulgación, antes de que muchas organizaciones parchearan. Después de actualizar, busca web shells en los directorios servidos por la web, solicitudes de traversal sospechosas en tus registros, y cualquier cuenta o tarea programada inesperada.

Sources

Waqas Ahmed Waseer

Waqas Ahmed Waseer

Waqas Ahmed Waseer es desarrollador y creador de automatizaciones con más de 8 años construyendo sistemas en producción que usan más de 100.000 personas. Crea SaaS multiinquilino a medida, automatización con IA (n8n, flujos LLM, bots de WhatsApp) e infraestructura de hosting (WHM/cPanel, CloudLinux), y es el creador de WaSphere, FlowMaticX y la marca de hosting WaseerHost. Más de 100 proyectos entregados para pymes, agencias y startups financiadas.

Relacionado

Más en Cybersecurity

Ver todo

Debate · 0

Sé amable. Los comentarios son públicos.

    Newsletter · Edición del lunes

    El resumen del lunes.

    Un correo cada lunes por la mañana. La semana que viene en IA, startups, hosting y herramientas dev: sin relleno, sin anzuelos patrocinados.

    Gratis. Cancela tu suscripción con un clic.