El INCIBE ha emitido este martes 7 de julio de 2026 una alerta de severidad crítica por una vulnerabilidad de Path Traversal en Adobe ColdFusion que permite la ejecución remota de código y ya está siendo explotada activamente. La alerta, publicada a las 10:22 horas, advierte de que la explotación no requiere interacción del usuario y que existe una prueba de concepto pública.
EN 30 SEGUNDOS
- ¿Qué ha ocurrido? El INCIBE alerta de la vulnerabilidad CVE-2026-48282 en Adobe ColdFusion, que permite ejecución remota de código.
- ¿Dónde y cuándo? El aviso se lanzó a las 10:22 horas del 7 de julio de 2026.
- ¿Qué resultado? Se ha confirmado actividad de explotación y ya están disponibles los parches en ColdFusion 2025 actualizacion 10 y ColdFusion 2023 Update 21.
La vulnerabilidad: Path Traversal con ejecución remota de código
La vulnerabilidad, registrada como CVE-2026-48282, tiene su origen en una limitación incorrecta de la ruta de acceso a un directorio restringido. Un atacante puede enviar una petición especialmente manipulada que le permita leer archivos arbitrarios del sistema y, en última instancia, ejecutar código remoto en el contexto del usuario actual del servidor. Según la alerta del INCIBE, la explotación de esta falla no necesita interacción alguna por parte de la víctima y puede derivar también en escalada de privilegios y omisión de los mecanismos de seguridad.
La gravedad de la situación se incrementa por dos factores confirmados: la explotación activa que la empresa de inteligencia de vulnerabilidades KEVIntel ha documentado y la existencia de una prueba de concepto pública alojada en GitHub. El INCIBE recalca que la combinación de ambos elementos convierte a esta vulnerabilidad en un vector de ataque de alto riesgo para cualquier organización que utilice Adobe ColdFusion en sus instalaciones.
La explotación activa de esta vulnerabilidad crítica, que no requiere interacción del usuario, convierte la actualización inmediata de ColdFusion en una prioridad absoluta para las empresas españolas.
Productos afectados y medidas de mitigación
Las versiones impactadas son ColdFusion 2025 hasta la actualización 9, inclusive, y ColdFusion 2023 hasta la actualización 20. El fabricante ya ha liberado las correcciones correspondientes: ColdFusion 2025 Update 10 y ColdFusion 2023 Update 21, respectivamente. El INCIBE insta a todas las entidades que operen estas plataformas a aplicar los parches de manera urgente y a revisar los registros de actividad en busca de posibles compromisos previos.
Desde el INCIBE-CERT se recuerda que, en escenarios donde la aplicación inmediata del parche no sea viable, se deben implementar medidas de contención como la segmentación de la red, la restricción de acceso al panel de administración y la monitorización intensiva de las conexiones entrantes. No obstante, la única solución completa es la actualización, ya que la vulnerabilidad puede ser aprovechada sin interacción del usuario y sortea las protecciones habituales del sistema.
El Contexto Operativo
La alerta emitida por el INCIBE se enmarca en su labor permanente de vigilancia del ciberespacio en coordinación con el sistema de seguridad nacional. Según el Balance de Ciberseguridad 2024 del propio organismo, se gestionaron más de 83.000 incidentes, y las vulnerabilidades en software empresarial —como la que afecta ahora a ColdFusion— representan un segmento creciente de los avisos críticos. La rápida difusión de estas amenazas demuestra la necesidad de contar con una red de alerta temprana como la que proporciona el INCIBE-CERT, que trabaja codo con codo con el CCN-CERT y Europol para proteger a empresas y administraciones.
La actividad de explotación detectada en esta ocasión subraya que los ciberdelincuentes monitorizan de forma continua las publicaciones de parches y las pruebas de concepto difundidas en foros y repositorios abiertos. El INCIBE mantiene abierta la investigación y recomienda a todas las organizaciones españolas que auditen de inmediato sus servidores ColdFusion. La alerta con identificador INCIBE-2026-473 permanecerá activa mientras se evalúa la evolución de la amenaza.

