Por qué los administradores de ColdFusion no deben retrasar las actualizaciones

En una actualización reciente, Adobe corrigió un conjunto de vulnerabilidades peligrosas, algunas de las cuales podían permitir la ejecución de código en el servidor.
Los problemas afectan a Adobe ColdFusion 2025 hasta la actualización 9 inclusive y a ColdFusion 2023 hasta la actualización 20 inclusive. En el boletín APSB26-68 la compañía enumeró varias vulnerabilidades con los identificadores CVE-2026-48276 (10.0 Crítico), CVE-2026-48277 (10.0 Crítico), CVE-2026-48281 (10.0 Crítico), CVE-2026-48316 (10.0 Crítico), CVE-2026-48282 (10.0 Crítico), CVE-2026-48283 (10.0 Crítico), CVE-2026-48307 (8.8 Crítico), CVE-2026-48313 (9.3 Crítico), CVE-2026-48315 (9.3 Crítico), CVE-2026-48285 (8.6 Crítico) y CVE-2026-48314 (6.5 Media). Parte de los errores permitían ejecutar código arbitrario, leer archivos, elevar privilegios o eludir mecanismos de protección.
Los especialistas watchTowr Labs analizaron detalladamente las correcciones y señalaron el módulo RDS, que en ColdFusion se usa para el desarrollo remoto. A través de él, el entorno de desarrollo puede conectarse con un servidor ColdFusion en ejecución, ver archivos, ejecutar consultas a bases de datos y ayudar con la depuración. Por defecto RDS está desactivado, y para el ataque descrito, según watchTowr, el módulo debía estar activado y sin autenticación.
La parte más peligrosa está relacionada con la forma en que se manejaban las operaciones de archivos. Antes de la corrección, ColdFusion aceptaba una ruta de archivo y la pasaba sin una verificación suficiente. Por ello, un atacante podía acceder a directorios ajenos en el servidor, leer un archivo arbitrario o escribir un nuevo archivo en una ubicación escogida. Tras la actualización, Adobe empezó a validar canónicamente la ruta, bloqueando rutas absolutas, las transiciones a directorios padre y los intentos de salir del área permitida.
La posibilidad de escribir archivos convertía la falla de una fuga de datos en un medio para ejecutar código de forma remota. Si el atacante podía colocar un archivo en el directorio web de ColdFusion, el servidor luego ejecutaba el archivo creado como parte de la aplicación. Según la evaluación de watchTowr, la capacidad de escribir archivos de forma arbitraria probablemente recibió el identificador CVE-2026-48282, y la capacidad de leer archivos de forma arbitraria — CVE-2026-48313, aunque los especialistas señalaron que Adobe no siempre asocia de forma inequívoca los fragmentos de código corregidos con CVE concretos.
Un bloque separado de problemas lo descubrieron en el gestor de archivos CKEditor, que forma parte de ColdFusion. En la versión corregida Adobe prohibió extensiones de archivo adicionales y empezó a verificar la ruta al subir archivos. La función vulnerable también está desactivada por defecto, pero si se activaba manualmente, el cargador, según watchTowr, podía ser accesible sin autenticación. En ese caso, un atacante podía pasar una ruta que saliera del directorio permitido y escribir un archivo en otra ubicación del servidor.
Otra falla corregida permitía explorar el contenido de directorios a través del gestor de archivos CKEditor. Además, watchTowr observó indicios de que cambió el manejo de ciertas etiquetas de ColdFusion relacionadas con la carga de archivos, el correo, los sockets web, recursos externos y la transformación de datos. Para explotar esos problemas ya se requería que en el servidor existiera una página ColdFusion con código vulnerable y entrada de usuario.
Adobe ya publicó actualizaciones, por lo que los administradores de ColdFusion deberían instalar las versiones recientes cuanto antes y, de forma separada, comprobar si RDS, la carga de archivos y el gestor de archivos están activados donde no se necesitan. En el caso de componentes así, incluso una configuración poco común puede ser crítica si el servidor es accesible desde Internet.