ID del boletín
Última actualización el
22 abr 2026
Actualizaciones de seguridad disponibles para Adobe ColdFusion | APSB26-38
|
|
Fecha de publicación |
Prioridad |
|
APSB26-38 |
14 de abril de 2026 |
1 |
Resumen
Adobe ha publicado actualizaciones de seguridad para las versiones 2025 y 2023 de ColdFusion. Estas actualizaciones resuelven vulnerabilidades críticas y moderadas que podrían provocar ejecución arbitraria de código, denegación de servicio de la aplicación, lectura arbitraria del sistema de archivos y omisión de funciones de seguridad.
Adobe no tiene constancia de que existan exploits en circulación para los problemas que se tratan en estas actualizaciones.
Versiones afectadas
|
Producto |
Número de actualización |
Plataforma |
|
ColdFusion 2025 |
Actualización 6 y versiones anteriores |
Todas |
|
ColdFusion 2023 |
Actualización 18 y versiones anteriores |
Todas |
Solución
Adobe categoriza estas actualizaciones de acuerdo a los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:
|
Producto |
Versión actualizada |
Plataforma |
Nivel de prioridad |
Disponibilidad |
|---|---|---|---|---|
|
ColdFusion 2025 |
Actualización 7 |
Todas |
1 |
|
|
ColdFusion 2023 |
Actualización 19 |
Todas |
1 |
Nota:
Por razones de seguridad, recomendamos encarecidamente utilizar la última versión del conector mysql java. Para obtener más información sobre su uso, consulte: https://helpx.adobe.com/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html
Consulte la documentación actualizada del filtro serie para obtener más detalles sobre la protección contra ataques de deserialización inseguros: https://helpx.adobe.com/coldfusion/kb/coldfusion-serialfilter-file.html
Detalles sobre la vulnerabilidad
|
Categoría de vulnerabilidad |
Impacto de la vulnerabilidad |
Gravedad |
Puntuación base CVSS |
Números CVE |
|
|
Limitación incorrecta de un nombre de ruta a un directorio restringido ('Travesía de ruta') (CWE-22) |
Omisión de la función de seguridad |
Crítica |
7,7 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H |
CVE-2026-34619 |
|
Validación incorrecta de la entrada (CWE-20) |
Ejecución de código arbitrario |
Crítica |
9.3 |
CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N |
CVE-2026-27304 |
|
Limitación incorrecta de un nombre de ruta a un directorio restringido ('Travesía de ruta') (CWE-22) |
Lectura arbitraria del sistema de archivos |
Crítica |
8.6 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N |
CVE-2026-27305 |
|
Validación incorrecta de la entrada (CWE-20) |
Omisión de la función de seguridad |
Crítica |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
CVE-2026-27282 |
|
Validación incorrecta de la entrada (CWE-20) |
Ejecución de código arbitrario |
Crítica |
8.4 |
CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2026-27306 |
|
Consumo de recursos no controlado (CWE-400) |
Denegación de servicio de la aplicación |
Moderada |
2.4 |
CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L |
CVE-2026-27307 |
|
Consumo de recursos no controlado (CWE-400) |
Denegación de servicio de la aplicación |
Moderada |
2.4 |
CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L |
CVE-2026-27308 |
Reconocimientos:
Adobe desea dar las gracias a los siguientes investigadores por informar sobre este problema y por colaborar con Adobe para ayudarnos a proteger a nuestros clientes:
- AnirudhAnand (a0xnirudh) -- CVE-2026-27304
- nbxiglk -- CVE-2026-27306
- Jonathan Lein de TrendAI Research -- CVE-2026-27282, CVE-2026-34619, CVE-2026-27305
- Idris_Tester092004 (tester092004) -- CVE-2026-27307, CVE-2026-27308
NOTA: Adobe tiene un programa público de detección de errores con HackerOne. Si está interesado en trabajar con Adobe como investigador de seguridad externo, consulte: https://hackerone.com/adobe
Nota:
Adobe recomienda actualizar JDK/JRE LTS de ColdFusion a la versión más reciente, con fines de seguridad. La página de descargas de ColdFusion se actualiza con regularidad para incluir los instaladores de Java más recientes para la versión de JDK compatible con su instalación, según las matrices siguientes.
Para obtener instrucciones sobre cómo utilizar un JDK externo, consulte Cambiar JVM de ColdFusion.
Adobe también recomienda aplicar los ajustes de configuración de seguridad incluidos en la documentación de seguridad de ColdFusion y consultar las guías de bloqueo correspondientes.
Requisito de JDK de ColdFusion
COLDFUSION 2025 (versión 2023.0.0.331385) y superior
Para servidores de aplicaciones
En las instalaciones de JEE, establezca el siguiente indicador de JVM, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;" en el archivo de inicio correspondiente en función del tipo de Application Server que se utilice.
Por ejemplo:
Servidor de aplicaciones Apache Tomcat: edite JAVA_OPTS en el archivo ‘Catalina.bat/sh’
Servidor de aplicaciones WebLogic: edite JAVA_OPTIONS en el archivo ‘startWeblogic.cmd’
Servidor de aplicaciones WildFly/EAP: edite JAVA_OPTS en el archivo ‘standalone.conf’
Establezca las marcas de JVM en la instalación de JEE de ColdFusion, no en una instalación independiente.
COLDFUSION 2023 (versión 2023.0.0.330468) y posteriores
Para servidores de aplicaciones
En las instalaciones de JEE, establezca el siguiente indicador de JVM, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;" en el archivo de inicio correspondiente en función del tipo de servidor de aplicaciones que se utilice.
Por ejemplo:
Servidor de aplicaciones Apache Tomcat: edite JAVA_OPTS en el archivo ‘Catalina.bat/sh’
Servidor de aplicaciones WebLogic: edite JAVA_OPTIONS en el archivo ‘startWeblogic.cmd’
Servidor de aplicaciones WildFly/EAP: edite JAVA_OPTS en el archivo ‘standalone.conf’
Establezca las marcas de JVM en la instalación de JEE de ColdFusion, no en una instalación independiente.
COLDFUSION 2021 (versión 2021.0.0.323925) y posteriores
Para servidores de aplicaciones
En las instalaciones de JEE, establezca el siguiente indicador JVM, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;"
en el archivo de inicio correspondiente en función del tipo de servidor de aplicaciones que esté utilizando.
Por ejemplo:
Servidor de aplicaciones Apache Tomcat: edite JAVA_OPTS en el archivo ‘Catalina.bat/sh’
Servidor de aplicaciones WebLogic: edite JAVA_OPTIONS en el archivo ‘startWeblogic.cmd’
Servidor de aplicaciones WildFly/EAP: edite JAVA_OPTS en el archivo ‘standalone.conf’
Establezca las marcas de JVM en la instalación de JEE de ColdFusion, no en una instalación independiente.
Para obtener más información, visite https://helpx.adobe.com/es/security.html o envíe un correo electrónico a la dirección PSIRT@adobe.com
