Análisis Principal
Seguridad y Riesgo5 min

ColdFusion bajo fuego: CISA obliga a agencias federales de EE. UU. a corregir CVE 10.0 para el viernes

Administrador federal em sala de servidores revisando diretriz da CISA impressa com data de sexta marcada em vermelho, sob luz baixa de luminária.

Falla de path traversal recibió calificación máxima y se convirtió en objetivo de explotación activa dos horas después del boletín técnico. CISA dio plazo hasta el 10 de julio para el Ejecutivo Civil Federal.

La CISA incluyó este martes el CVE-2026-48282, falla de path traversal con CVSS 10.0 en Adobe ColdFusion, en su catálogo de Vulnerabilidades Conocidas Explotadas. Todas las agencias del Ejecutivo Civil Federal de los Estados Unidos deben aplicar la corrección o desconectar los servidores de la red hasta el viernes, 10 de julio. Es la segunda vez en tres años que una falla máxima de ColdFusion entra en el catálogo por explotación activa.


El bug está en el manejador FILEIO de los Servicios de Desarrollo Remoto (RDS), interfaz que suele estar activa en entornos de desarrollo e integraciones antiguas. Un atacante remoto, sin autenticación, puede leer, escribir, renombrar y borrar archivos fuera del directorio permitido con una única solicitud HTTP forjada. Resecurity, en un análisis separado publicado en su blog, describe el vector como escritura arbitraria de archivos con escalada directa a ejecución remota de código. Las versiones afectadas son ColdFusion 2025 antes de la build Update 10 y ColdFusion 2023 antes de la build Update 21. Adobe distribuyó los parches el 30 de junio y clasificó la actualización como prioridad 1, categoría reservada para productos con historial reciente de explotación.


Dos horas entre el boletín y el primer exploit


Ryan Dewhurst, fundador de KEVIntel, registró intentos capturados por sensores honeypot en menos de dos horas después de que watchTowr Labs publicara un análisis técnico de las fallas corregidas por Adobe. Una de las solicitudes provino de una dirección IP geolocalizada en India tratando de leer el archivo C:\Windows\win.ini, una prueba clásica de path traversal en servidores Windows. watchTowr clasificó el problema como escritura arbitraria de archivos, lo que, combinado con la ejecución automática de archivos .cfm por el motor de ColdFusion, permite instalar un webshell sin requerir credenciales.


El RDS no viene activado por defecto en nuevas instalaciones. El detalle irrelevante en auditorías formales y crítico en la práctica: sigue activo en una larga cola de deployments antiguos, especialmente en entornos de desarrollo expuestos por error a Internet o dentro de contenedores con puertos mal configurados. SecurityWeek registró miles de servidores ColdFusion orientados a Internet aún en producción en gobiernos, oficinas de abogados e integradores B2B.


Donde el problema afecta: EE. UU., Reino Unido e infraestructura de terceros


La base instalada de ColdFusion sigue siendo relevante fuera del universo Fortune 500. En Estados Unidos, la CISA ya ha emitido órdenes similares para agencias federales en 2023 (CVE-2023-26359) y en 2024, y cada ola reveló instancias vulnerables en al menos media docena de departamentos, desde el Censo hasta la Administración de Pequeñas Empresas. En el Reino Unido, el National Cyber Security Centre publica boletines específicos sobre ColdFusion desde 2023, reflejando el uso residual en componentes de sistemas del HMRC y en proveedores del National Health Service. El JPCERT/CC japonés suele reproducir las alertas de la CISA en hasta 48 horas, y la exposición relevante allí está en las plataformas de crédito de bancos regionales integradas en los años 2000. Proveedores de servicios gestionados que atienden a clientes financieros en estos tres mercados asumen el riesgo en sus propias operaciones de hospedaje legado.


La ventana para aplicar el parche es estrecha. Los sysadmins federales deben elegir entre aplicar la actualización fuera de una ventana de mantenimiento formal o desconectar el RDS externamente, medida que tiende a romper pipelines internos de despliegue que aún dependen del servicio. Proveedores externos que hospedan estos entornos deben tomar la misma decisión antes de las seis de la tarde del viernes en la zona horaria del Este de EE. UU., cuando finaliza el plazo establecido por la CISA.


Qué verificar antes del fin de semana


Los indicadores de compromiso divulgados por watchTowr y Resecurity son específicos: archivos no autorizados dentro del directorio /CFIDE/, creación de archivos .cfm en carpetas que normalmente no reciben cargas, solicitudes HTTP con cadenas de path traversal codificadas para /CFIDE/main/ide.cfm. La prioridad 1 de Adobe indica que los detalles técnicos suficientes para un kit automatizado ya están públicos.


El CVE-2026-48282 es la segunda entrada máxima de ColdFusion en el KEV en tres años y llega cuatro días después de otra ronda de siete fallas críticas corregidas por Adobe en ColdFusion y Campaign Classic. Para el CIO que aún mantiene un Application Server 12 en producción porque el costo de migración parecía alto, el cálculo cambió esta semana.

Análisis Principal