Análisis Principal
Seguridad y Riesgo6 min

Adobe cierra siete vulnerabilidades CVSS 10.0 en ColdFusion y Campaign Classic con máxima prioridad y sin explotación en el radar

Sala de servidores federais de madrugada, porta de rack aberta com adesivo antigo de ColdFusion, luz azul, adesivo vermelho de prioridade 1 e xícara de café pela metade em carrinho metálico.

El boletín APSB26-68 corrige 11 CVEs, siete con la calificación máxima, en ColdFusion 2025, ColdFusion 2023 y Campaign Classic 7.4.3. Adobe otorgó una calificación de prioridad 1, categoría en la que la compañía estima una inminente explotación.

Adobe publicó este martes, 30 de junio, el boletín de seguridad APSB26-68 corrigiendo 11 vulnerabilidades en ColdFusion 2025, ColdFusion 2023 y Campaign Classic 7.4.3. Siete de las fallas fueron evaluadas con CVSS 10.0, la calificación máxima, y recibieron la calificación de prioridad 1 de Adobe, categoría reservada para errores que la compañía cree que los atacantes apuntarán pronto. Adobe afirma que no hay evidencia de explotación en producción hasta el momento, pero la combinación de CVSS 10 y Priority 1 es el mismo patrón que precedió, en julio de 2023, la inclusión de dos RCEs de ColdFusion en el catálogo de Vulnerabilidades Conocidas Explotadas de la CISA.


Seis de las fallas con nota 10 están en ColdFusion y son de tres tipos: carga sin restricción (CWE-434) en CVE-2026-48276 y CVE-2026-48283, validación de input inapropiada (CWE-20) en CVE-2026-48277, CVE-2026-48281 y CVE-2026-48316, y path traversal (CWE-22) en CVE-2026-48282. Todas permiten ejecución arbitraria de código sin interacción del usuario y, en el caso de las dos de carga, sin autenticación previa. Un atacante remoto que logre acceder a una instancia expuesta obtiene control total del host.


La séptima falla con nota 10, CVE-2026-48286, afecta a Campaign Classic y es un problema de autorización incorrecta que conduce al mismo desenlace de ejecución arbitraria. Aparte de las siete, el boletín presenta CVE-2026-48313 (CVSS 9.3, lectura arbitraria de archivos), CVE-2026-48315 (9.3, escalada de privilegios a través de archivo malicioso), CVE-2026-48307 (8.8, XSS reflejado que se escala a RCE), CVE-2026-48285 (8.6, SSRF que rompe la protección de seguridad) y CVE-2026-48314 (6.5, path traversal).


El universo afectado y la ventana de exposición


Las versiones vulnerables son ColdFusion 2025 hasta Update 9 y ColdFusion 2023 hasta Update 20. Las correcciones vienen empaquetadas en ColdFusion 2025 Update 10 y ColdFusion 2023 Update 21. Adobe recomienda la instalación en un plazo de 72 horas, plazo estándar para boletines de clase 1. Campaign Classic recibe actualización posterior a 7.4.3.


ColdFusion sigue en ciclo de soporte comercial en ambas versiones, pero el tracker público de Foundeo, consultoría especializada en la plataforma, muestra un flujo constante de boletines críticos desde 2023. Mientras los administradores prueban el parche en homologación, los servidores expuestos a internet continúan siendo elegibles para estas cadenas, lo cual es el punto sensible de aplicaciones gubernamentales y bancarias que han preservado interfaces de ColdFusion para módulos internos heredados.


Herencia de código y lectura regulatoria


ColdFusion es una de las plataformas que la mayoría de los CIOs asume que ha muerto y que continúa sustentando aplicaciones internas en segmentos regulados. Portales de agencias federales estadounidenses, sistemas de cumplimiento en bancos de mediano porte en Brasil y México, aplicaciones de línea de negocio en aseguradoras australianas y británicas siguen operando en runtimes de ColdFusion que han sido intencionadamente ocultos detrás de balanceadores de carga y CDNs.


Foundeo enumera decenas de boletines publicados desde 2023, y la CISA ya ha utilizado ColdFusion como caso de estudio en capacitaciones de inventario de aplicaciones heredadas para agencias civiles. El patrón que describe la CISA es el mismo en diferentes jurisdicciones: las aplicaciones siguen operando por dependencia funcional, incluso después de que se hayan priorizado las migraciones a plataformas modernas en los mapas de ruta.


Para los equipos de seguridad en bancos y consultorías que aún operan estas aplicaciones, el APSB26-68 obliga a una lectura combinada con dos vectores regulatorios recientes. En Estados Unidos, la directiva BOD 25-02 de la CISA, publicada en febrero, exige un inventario de aplicaciones heredadas con componentes de terceros en el entorno federal, y ColdFusion aparece en la lista de ejemplos citados. En la Unión Europea, el DORA obliga a las instituciones financieras a reportar exposiciones críticas en proveedores de TIC en un plazo de 24 horas al regulador nacional, y ColdFusion, cuando sostiene una aplicación contable o de tesorería, entra en el ámbito.


Una ventana de 72 horas hasta la aplicación del parche es aceptable desde el punto de vista técnico. Es la pregunta que viene después que suele bloquear la respuesta operativa: si un regulador se pone en contacto antes de que finalice el plazo, ¿el equipo puede demostrar en qué instancia se aplicó la actualización, cuándo y por quién?

Análisis Principal