Plataforma
coldfusion
Componente
coldfusion
Corregido en
2025.6.1
La vulnerabilidad CVE-2026-27307 afecta a ColdFusion en versiones 2023.18 y anteriores hasta la 2025.6. Se trata de un problema de consumo excesivo de recursos (Uncontrolled Resource Consumption) que puede resultar en una denegación de servicio (DoS). Un atacante con privilegios podría explotar esta falla para agotar los recursos del sistema, impactando negativamente en el rendimiento de la aplicación. La solución recomendada es actualizar a la versión 2025.6.1.
Esta vulnerabilidad permite a un atacante con privilegios provocar una denegación de servicio en la aplicación ColdFusion. Al agotar los recursos del sistema, como la memoria o la CPU, el atacante puede impedir que la aplicación responda a las solicitudes legítimas de los usuarios. Esto puede resultar en una interrupción del servicio, pérdida de productividad y daño a la reputación. Aunque la explotación no requiere interacción del usuario, la necesidad de privilegios limita el alcance del ataque a usuarios con acceso administrativo al sistema ColdFusion. La severidad es baja, pero el impacto puede ser significativo en entornos críticos.
CVE-2026-27307 fue publicado el 14 de abril de 2026. Actualmente no se dispone de información sobre explotación activa en la naturaleza. La vulnerabilidad ha sido catalogada con una puntuación CVSS de 2.4 (Bajo), lo que indica una baja probabilidad de explotación. No se ha añadido a la lista KEV de CISA. No se han reportado pruebas de concepto (PoC) públicas.
Organizations heavily reliant on ColdFusion for critical business applications are at risk. Environments with limited system resources or those running older, unpatched ColdFusion instances are particularly vulnerable. Shared hosting environments where multiple ColdFusion applications share resources are also at increased risk.
• coldfusion:
Get-Process -Name ColdFusion | Select-Object CPU, WorkingSet• coldfusion:
Get-WinEvent -LogName Application -FilterXPath "*[System[Provider[@Name='ColdFusion']]]" -MaxEvents 100• coldfusion: Review ColdFusion application logs for unusual patterns of resource requests or errors related to resource exhaustion.
disclosure
Estado del Exploit
EPSS
0.02% (6% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-27307 es actualizar ColdFusion a la versión 2025.6.1 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización inmediata no es posible, se recomienda limitar los privilegios de los usuarios que interactúan con ColdFusion para reducir el riesgo de explotación. Además, implementar un sistema de monitoreo de recursos del sistema puede ayudar a detectar y responder a posibles ataques de denegación de servicio. No existen configuraciones específicas o reglas de WAF que puedan mitigar completamente esta vulnerabilidad sin la actualización.
Adobe recomienda aplicar la actualización a ColdFusion versión 2025.6.1 o posterior para mitigar la vulnerabilidad de consumo excesivo de recursos. Consulte la página de Adobe Security Advisory APSB26-38 para obtener más detalles e instrucciones de instalación.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-27307 is a denial-of-service vulnerability in ColdFusion affecting versions 0.0.0–2025.6. An attacker can exhaust system resources, leading to application slowdown or crashes.
You are affected if you are running ColdFusion versions 0.0.0 through 2025.6. Upgrade to 2025.6.1 or later to mitigate the risk.
Upgrade to ColdFusion version 2025.6.1 or a later version. Consider rate limiting and monitoring system resources as interim measures.
There are currently no reports of active exploitation campaigns for CVE-2026-27307, but vigilance is still advised.
Refer to the Adobe Security Bulletin for CVE-2026-27307 on the Adobe Security Advisories website.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.