ColdFusion | Consumo Incontrolado de Recursos (CWE-400)
Plataforma
coldfusion
Componente
coldfusion
Corregido en
2025.6.1
Se ha identificado una vulnerabilidad de consumo excesivo de recursos (Uncontrolled Resource Consumption) en ColdFusion. Esta vulnerabilidad podría permitir a un atacante de alto privilegio agotar los recursos del sistema, lo que resultaría en una denegación de servicio y una disminución del rendimiento de la aplicación. La vulnerabilidad afecta a las versiones 2023.18 y anteriores, incluyendo la versión 2025.6. Una solución está disponible en la versión 2025.6.1.
Impacto y Escenarios de Ataque
La principal consecuencia de esta vulnerabilidad es la posibilidad de una denegación de servicio. Un atacante podría explotar esta falla para consumir recursos críticos del sistema, como memoria o CPU, impidiendo que la aplicación responda a solicitudes legítimas. Esto podría resultar en la indisponibilidad del servicio para los usuarios finales y la interrupción de las operaciones. La explotación no requiere interacción del usuario, lo que aumenta el riesgo de ataques automatizados. Aunque la severidad es baja según el CVSS, el impacto en la disponibilidad del servicio puede ser significativo, especialmente en entornos de producción con alta carga.
Contexto de Explotación
Esta vulnerabilidad fue publicada el 14 de abril de 2026. No se ha identificado actualmente como una vulnerabilidad de interés clave (KEV) por parte de CISA. La puntuación CVSS de 2.4 indica una baja probabilidad de explotación, pero la falta de interacción del usuario hace que sea un riesgo potencial a largo plazo. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad sugiere que podrían desarrollarse fácilmente.
Quién Está en Riesgotraduciendo…
Organizations running ColdFusion versions 2023.18, 2025.6, or earlier are at risk. This includes those with legacy ColdFusion deployments, shared hosting environments where ColdFusion is installed, and those who haven't recently updated their ColdFusion instances.
Pasos de Deteccióntraduciendo…
• coldfusion:
Get-Process -Name ColdFusion | Select-Object CPU, WorkingSet, VirtualMemory• coldfusion:
Get-WinEvent -LogName Application -FilterXPath "*[System[Provider[@Name='ColdFusion']]]" -MaxEvents 100• generic web: Check ColdFusion application logs for unusual patterns of requests or errors that might indicate resource exhaustion.
Cronología del Ataque
- Disclosure
disclosure
Inteligencia de Amenazas
Estado del Exploit
EPSS
0.02% (6% percentil)
CISA SSVC
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Adyacente — requiere proximidad de red: misma LAN, Bluetooth o segmento inalámbrico local.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Alto — se requiere cuenta de administrador o privilegiada.
- User Interaction
- Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
- Scope
- Sin cambio — el impacto se limita al componente vulnerable.
- Confidentiality
- Ninguno — sin impacto en confidencialidad.
- Integrity
- Ninguno — sin impacto en integridad.
- Availability
- Bajo — denegación de servicio parcial o intermitente.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Reservado
- Publicada
- Modificada
- EPSS actualizado
Mitigación y Workarounds
La mitigación principal es actualizar a la versión 2025.6.1 o posterior, que incluye la corrección para esta vulnerabilidad. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales, como limitar los recursos disponibles para ColdFusion a través de la configuración del servidor. Monitorear el uso de recursos del sistema (CPU, memoria, disco) es crucial para detectar posibles ataques en curso. Implementar reglas en un firewall de aplicaciones web (WAF) para bloquear patrones de tráfico sospechosos que puedan indicar un intento de explotación también puede ayudar. Después de la actualización, confirmar la corrección verificando que el consumo de recursos se mantenga dentro de los límites normales bajo carga.
Cómo corregirlo
Adobe recomienda actualizar a la versión 2025.6.1 o posterior para mitigar esta vulnerabilidad. La actualización corrige el problema de consumo excesivo de recursos que podría llevar a una denegación de servicio. Consulte la página de Adobe Security Advisory APSB26-38 para obtener más detalles e instrucciones de actualización.
Boletín de seguridad CVE
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
Preguntas frecuentestraduciendo…
What is CVE-2026-27308 — DoS in ColdFusion?
CVE-2026-27308 is a denial-of-service vulnerability in ColdFusion affecting versions 0.0.0–2025.6. An attacker can exhaust system resources, impacting application speed.
Am I affected by CVE-2026-27308 in ColdFusion?
You are affected if you are running ColdFusion versions 2023.18, 2025.6, or earlier. Upgrade to 2025.6.1 or later to mitigate the risk.
How do I fix CVE-2026-27308 in ColdFusion?
Upgrade ColdFusion to version 2025.6.1 or later. As a temporary workaround, implement rate limiting for requests to the application.
Is CVE-2026-27308 being actively exploited?
There are currently no reports of active exploitation, and no public proof-of-concept code is available.
Where can I find the official ColdFusion advisory for CVE-2026-27308?
Refer to the Adobe Security Bulletin for CVE-2026-27308 on the Adobe website.
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.