Nueva vulnerabilidad en Adobe ColdFusion: qué riesgos plantea y quiénes ya están bajo ataque

Una vulnerabilidad peligrosa en Adobe ColdFusion atrajo la atención de los actores malintencionados casi de inmediato después de que se publicaron los detalles técnicos. Los especialistas de KEVIntel registraron ataques reales contra servidores menos de dos horas después de que se divulgó la información sobre la brecha.
La vulnerabilidad CVE-2026-48282 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H — 10.0 Critical) afecta a ColdFusion 2025 con la actualización 9 y versiones anteriores, así como a ColdFusion 2023 con la actualización 20 y anteriores. El problema permite atacar el servidor sin necesidad de una cuenta, leer y escribir archivos arbitrarios y, posteriormente, ejecutar código malicioso.
Adobe publicó parches el 30 de junio como parte de una actualización de seguridad importante. La empresa corrigió inmediatamente 11 vulnerabilidades, incluidas seis con la puntuación máxima de 10.0. Las fallas podían permitir la ejecución de código arbitrario, el aumento de privilegios, la lectura de archivos y la elusión de mecanismos de protección.
En el momento en que Adobe publicó las actualizaciones, la compañía no disponía de información de que las vulnerabilidades corregidas se estuvieran explotando. Sin embargo, pocas horas después KEVIntel detectó intentos de ataque que utilizaban CVE-2026-48282. Según la empresa, el atacante operó desde una dirección IP localizada en India.
Más tarde, el Centro Canadiense de Ciberseguridad actualizó su advertencia y confirmó que habían surgido informes públicos de explotación de la vulnerabilidad. El organismo instó a usuarios y administradores a instalar los parches lo antes posible.
Según datos de Shadowserver, en internet siguen accesibles alrededor de 800 servidores Adobe ColdFusion. No se sabe cuántos de ellos ya han recibido actualizaciones ni cuántos son servidores señuelo.
Para protegerse, Adobe recomienda instalar la actualización 10 para ColdFusion 2025 o la actualización 21 para ColdFusion 2023. La empresa también aconseja usar la última versión del conector Java para MySQL y revisar la configuración del filtro de serialización, que ayuda a proteger los servidores frente al procesamiento inseguro de datos.