Plataforma
coldfusion
Componente
coldfusion
Corregido en
2025.6.1
La vulnerabilidad CVE-2026-34619 es una falla de Path Traversal identificada en ColdFusion. Esta falla permite a un atacante eludir las restricciones de directorio y acceder a archivos y directorios sensibles fuera de los límites previstos. Las versiones afectadas incluyen aquellas anteriores a 2025.6. Se recomienda actualizar a la versión 2025.6 para mitigar este riesgo.
Un atacante que explote con éxito esta vulnerabilidad de Path Traversal podría obtener acceso no autorizado a información confidencial almacenada en el sistema ColdFusion. Esto podría incluir archivos de configuración, contraseñas, código fuente y otros datos sensibles. Además, el atacante podría potencialmente modificar archivos del sistema o ejecutar código malicioso, comprometiendo la integridad y disponibilidad del servidor. La falta de interacción del usuario para la explotación aumenta el riesgo de ataques automatizados y a gran escala. La capacidad de acceder a archivos fuera del directorio previsto podría permitir la escalada de privilegios y el control total del sistema.
La vulnerabilidad CVE-2026-34619 fue publicada el 14 de abril de 2026. No se ha reportado explotación activa a la fecha, pero la falta de interacción del usuario para la explotación la convierte en un objetivo atractivo para ataques automatizados. Se recomienda monitorear la situación y aplicar las mitigaciones lo antes posible. La vulnerabilidad no está listada en el KEV de CISA al momento de la redacción.
Organizations running ColdFusion applications, particularly those with sensitive data stored on the server, are at risk. Shared hosting environments where multiple users share the same server instance are especially vulnerable, as a compromise of one user's ColdFusion application could potentially expose data from other users.
• coldfusion: Examine ColdFusion request logs for suspicious patterns like '../' or '\\'.
• generic web: Use curl to test for path traversal by attempting to access files outside the expected directory structure. For example: curl 'http://coldfusion-server/..\.\.\.\.\/etc/passwd'
• generic web: Check access and error logs for unusual file access attempts or errors related to unauthorized file access.
• generic web: Review response headers for unexpected content or file types.
disclosure
Estado del Exploit
EPSS
0.07% (21% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-34619 es actualizar ColdFusion a la versión 2025.6 o superior, donde se ha solucionado la vulnerabilidad. Si la actualización inmediata no es posible, se recomienda revisar y endurecer las configuraciones de seguridad de ColdFusion, restringiendo el acceso a archivos y directorios sensibles. Implementar reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes que intenten acceder a rutas no autorizadas puede proporcionar una capa adicional de protección. Se debe monitorear los registros de ColdFusion en busca de intentos de acceso no autorizados.
Adobe recomienda actualizar a una versión corregida de ColdFusion, como 2025.6 o posterior, para mitigar la vulnerabilidad de recorrido de ruta. Consulte la página de Adobe Security Advisory para obtener instrucciones detalladas sobre cómo aplicar la actualización y obtener más información sobre la vulnerabilidad.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-34619 is a Path Traversal vulnerability affecting ColdFusion versions 0.0.0–2025.6, allowing attackers to access unauthorized files.
If you are running ColdFusion versions 0.0.0 through 2025.6, you are potentially affected by this vulnerability.
Upgrade to ColdFusion version 2025.6 or later to resolve the vulnerability. Consider WAF rules as a temporary workaround.
While no active exploitation has been confirmed, the vulnerability's nature suggests a potential for exploitation, so vigilance is advised.
Refer to the official Adobe Security Bulletin for details: [https://www.adobe.com/security/advisories/CVE-2026-34619.html](https://www.adobe.com/security/advisories/CVE-2026-34619.html)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.