Plataforma
coldfusion
Componente
coldfusion
Corregido en
2025.6.1
Se ha identificado una vulnerabilidad de consumo excesivo de recursos (Uncontrolled Resource Consumption) en ColdFusion. Esta vulnerabilidad podría permitir a un atacante de alto privilegio agotar los recursos del sistema, lo que resultaría en una denegación de servicio y una disminución del rendimiento de la aplicación. La vulnerabilidad afecta a las versiones 2023.18 y anteriores, incluyendo la versión 2025.6. Una solución está disponible en la versión 2025.6.1.
La principal consecuencia de esta vulnerabilidad es la posibilidad de una denegación de servicio. Un atacante podría explotar esta falla para consumir recursos críticos del sistema, como memoria o CPU, impidiendo que la aplicación responda a solicitudes legítimas. Esto podría resultar en la indisponibilidad del servicio para los usuarios finales y la interrupción de las operaciones. La explotación no requiere interacción del usuario, lo que aumenta el riesgo de ataques automatizados. Aunque la severidad es baja según el CVSS, el impacto en la disponibilidad del servicio puede ser significativo, especialmente en entornos de producción con alta carga.
Esta vulnerabilidad fue publicada el 14 de abril de 2026. No se ha identificado actualmente como una vulnerabilidad de interés clave (KEV) por parte de CISA. La puntuación CVSS de 2.4 indica una baja probabilidad de explotación, pero la falta de interacción del usuario hace que sea un riesgo potencial a largo plazo. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad sugiere que podrían desarrollarse fácilmente.
Organizations running ColdFusion versions 2023.18, 2025.6, or earlier are at risk. This includes those with legacy ColdFusion deployments, shared hosting environments where ColdFusion is installed, and those who haven't recently updated their ColdFusion instances.
• coldfusion:
Get-Process -Name ColdFusion | Select-Object CPU, WorkingSet, VirtualMemory• coldfusion:
Get-WinEvent -LogName Application -FilterXPath "*[System[Provider[@Name='ColdFusion']]]" -MaxEvents 100• generic web: Check ColdFusion application logs for unusual patterns of requests or errors that might indicate resource exhaustion.
disclosure
Estado del Exploit
EPSS
0.02% (6% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a la versión 2025.6.1 o posterior, que incluye la corrección para esta vulnerabilidad. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales, como limitar los recursos disponibles para ColdFusion a través de la configuración del servidor. Monitorear el uso de recursos del sistema (CPU, memoria, disco) es crucial para detectar posibles ataques en curso. Implementar reglas en un firewall de aplicaciones web (WAF) para bloquear patrones de tráfico sospechosos que puedan indicar un intento de explotación también puede ayudar. Después de la actualización, confirmar la corrección verificando que el consumo de recursos se mantenga dentro de los límites normales bajo carga.
Adobe recomienda actualizar a la versión 2025.6.1 o posterior para mitigar esta vulnerabilidad. La actualización corrige el problema de consumo excesivo de recursos que podría llevar a una denegación de servicio. Consulte la página de Adobe Security Advisory APSB26-38 para obtener más detalles e instrucciones de actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-27308 is a denial-of-service vulnerability in ColdFusion affecting versions 0.0.0–2025.6. An attacker can exhaust system resources, impacting application speed.
You are affected if you are running ColdFusion versions 2023.18, 2025.6, or earlier. Upgrade to 2025.6.1 or later to mitigate the risk.
Upgrade ColdFusion to version 2025.6.1 or later. As a temporary workaround, implement rate limiting for requests to the application.
There are currently no reports of active exploitation, and no public proof-of-concept code is available.
Refer to the Adobe Security Bulletin for CVE-2026-27308 on the Adobe website.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.