← Alertas
Vulnerabilidad Alto Activa

Falla crítica en ColdFusion ya está siendo explotada, con parche disponible

Adobe confirmó una vulnerabilidad de severidad máxima en ColdFusion que permite tomar control remoto de servidores sin necesitar contraseña ni interacción del usuario. Los ataques comenzaron menos de dos horas después de que se hiciera pública la falla. Adobe ya publicó la actualización de seguridad y recomienda instalarla en un plazo de 72 horas.

2026-07-06 · BleepingComputer

Qué ocurrió

Adobe confirmó una vulnerabilidad de severidad máxima en ColdFusion que permite a un atacante tomar control remoto del servidor sin necesitar contraseña ni ninguna acción de la víctima. Adobe publicó la corrección el martes. Menos de dos horas después de hacerse pública la falla, ya había ataques activos aprovechándola.

Quién está expuesto

Organizaciones que operan servidores con Adobe ColdFusion en las versiones 2025.9, 2023.20 o anteriores, en particular si están expuestos directamente a Internet. Se han detectado cerca de 800 instancias públicas sin corregir.

A considerar

Dado que la explotación comenzó casi de inmediato, revisar los registros de acceso de las últimas semanas puede ayudar a detectar si el servidor ya fue comprometido antes de aplicar el parche.

Impacto potencial

Un servidor ColdFusion comprometido puede usarse para robar información, interrumpir el servicio que depende de él, o como punto de entrada hacia el resto de la red de la organización.

Leer fuente original →