Plataforma
coldfusion
Componente
coldfusion
Corregido en
2025.6.1
La vulnerabilidad CVE-2026-27305 es una falla de 'Path Traversal' (recorrido inapropiado de ruta) que afecta a ColdFusion en versiones desde 0.0.0 hasta 2025.6. Esta vulnerabilidad permite a un atacante acceder a archivos sensibles en el sistema de archivos, incluso fuera de las áreas a las que normalmente tendría acceso. La actualización a la versión 2025.6 corrige esta vulnerabilidad.
Un atacante que explote con éxito esta vulnerabilidad podría leer archivos de configuración, código fuente, contraseñas u otros datos confidenciales almacenados en el servidor ColdFusion. Esto podría resultar en la exposición de información sensible, la escalada de privilegios o incluso el control total del servidor. La falta de interacción del usuario para la explotación aumenta el riesgo, ya que un atacante podría explotar la vulnerabilidad de forma remota sin necesidad de engañar a un usuario. La capacidad de leer archivos arbitrarios en el sistema de archivos es similar a las consecuencias de otras vulnerabilidades de Path Traversal, pero el impacto específico depende de los archivos accesibles.
La vulnerabilidad CVE-2026-27305 fue publicada el 14 de abril de 2026. Actualmente no se dispone de información sobre explotación activa en la naturaleza, pero la falta de interacción del usuario para la explotación la convierte en un objetivo atractivo para los atacantes. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa. La vulnerabilidad no ha sido agregada al catálogo KEV de CISA al momento de esta redacción.
Organizations running ColdFusion applications, particularly those with sensitive data stored on the server, are at risk. This includes businesses relying on ColdFusion for web applications, e-commerce platforms, and internal systems. Legacy ColdFusion deployments and those with weak file system permissions are especially vulnerable.
• coldfusion:
Get-ChildItem -Path "C:\ColdFusion\wwwroot\" -Recurse -ErrorAction SilentlyContinue | Where-Object {$_.FullName -match '\.\.\'}• generic web:
curl -I http://your-coldfusion-server/../../../../etc/passwddisclosure
Estado del Exploit
EPSS
0.18% (39% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-27305 es actualizar ColdFusion a la versión 2025.6 o posterior, donde la vulnerabilidad ha sido corregida. Si la actualización inmediata no es posible, se recomienda implementar controles de acceso estrictos para limitar el acceso a los archivos y directorios sensibles. Esto puede incluir la configuración de permisos de archivo restrictivos y la implementación de una red de seguridad de aplicaciones web (WAF) para bloquear solicitudes maliciosas. Revise las configuraciones de ColdFusion para asegurar que las rutas de acceso a archivos estén correctamente restringidas y validadas. Monitoree los registros de ColdFusion en busca de intentos de acceso no autorizados a archivos.
Adobe recomienda actualizar a una versión corregida de ColdFusion, como 2025.6 o posterior, para mitigar la vulnerabilidad de recorrido de ruta. Consulte la página de Adobe Security Advisory (APS) para obtener instrucciones detalladas sobre cómo aplicar la actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-27305 is a Path Traversal vulnerability in ColdFusion affecting versions 0.0.0–2025.6, allowing attackers to read arbitrary files.
If you are running ColdFusion versions 0.0.0 through 2025.6, you are potentially affected and should upgrade immediately.
Upgrade to ColdFusion version 2025.6 or later to resolve the vulnerability. Consider WAF rules as a temporary mitigation.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's nature suggests potential for future attacks.
Refer to the Adobe Security Bulletin for CVE-2026-27305 on the Adobe website.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.