Plataforma
coldfusion
Componente
coldfusion
Corregido en
2023.16
Se ha identificado una vulnerabilidad de Acceso Inadecuado (Path Traversal) en ColdFusion, afectando a versiones desde 0 hasta 2021.22. Esta falla permite la ejecución arbitraria de código en el contexto del usuario actual, lo que podría resultar en la toma de control del sistema. La versión afectada incluye 2025.4, 2023.16 y 2021.22, y Adobe ha lanzado una actualización para solucionar este problema.
La vulnerabilidad de Path Traversal en ColdFusion permite a un atacante con privilegios elevados acceder a archivos y directorios sensibles en el servidor, incluso aquellos que no deberían ser accesibles. Esto puede llevar a la ejecución de código malicioso, la modificación de archivos de configuración, el robo de información confidencial y, en última instancia, la toma de control completa del servidor. La explotación no requiere interacción del usuario, lo que aumenta significativamente el riesgo. Un atacante podría, por ejemplo, subir un archivo ejecutable malicioso y ejecutarlo, o modificar archivos de configuración para alterar el comportamiento de la aplicación. El alcance de la vulnerabilidad es amplio, permitiendo cambios significativos en el sistema.
Esta vulnerabilidad ha sido publicada el 9 de diciembre de 2025. La severidad es crítica (CVSS 9.1). No se ha confirmado la explotación activa en entornos reales, pero la falta de interacción del usuario y la facilidad de explotación sugieren un riesgo considerable. Se recomienda monitorear activamente los sistemas ColdFusion para detectar posibles intentos de intrusión.
Organizations running ColdFusion in production environments, particularly those with older, unpatched versions (0–2021.22), are at significant risk. Shared hosting environments where ColdFusion instances are deployed alongside other applications are also vulnerable, as a compromise of one instance could potentially lead to the compromise of others.
• coldfusion / server:
find /opt/coldfusion/cfusion/wwwroot/ -name '*.*' -type f -print0 | xargs -0 grep -i 'path.xml'• coldfusion / server:
journalctl -u coldfusion -g "path traversal"• generic web:
curl -I http://your-coldfusion-server/CFIDE/administrator/enter.cfm?locale=en&path=../../../../etc/passwddisclosure
Estado del Exploit
EPSS
1.02% (77% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar ColdFusion a la versión 2023.16 o posterior, donde se ha solucionado el problema. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso a los directorios sensibles del servidor y fortalecer las políticas de control de acceso. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que intenten acceder a archivos fuera del directorio raíz de la aplicación. Verifique que la configuración de ColdFusion no permita la ejecución de scripts desde ubicaciones no autorizadas después de la actualización, confirmando que los permisos de archivo son los adecuados.
Actualice ColdFusion a la versión 2023.16 o posterior. Esto solucionará la vulnerabilidad de path traversal y evitará la ejecución de código arbitrario. Consulte el aviso de seguridad de Adobe para obtener más detalles e instrucciones específicas.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-61811 is a critical vulnerability in ColdFusion allowing attackers to bypass security measures and potentially execute code. It affects versions 0–2021.22.
If you are running ColdFusion versions 0 through 2021.22, you are potentially affected. Upgrade to 2023.16 or later to mitigate the risk.
Upgrade ColdFusion to version 2023.16 or later. If upgrading is not immediately possible, implement stricter access controls and file system permissions.
As of December 2025, there is no confirmed evidence of active exploitation in the wild, but the vulnerability's severity warrants caution.
Refer to the Adobe Security Bulletin for ColdFusion for the official advisory and detailed information: [https://www.adobe.com/security/advisories/](https://www.adobe.com/security/advisories/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.