El INCIBE ha publicado este lunes 13 de julio de 2026 una alerta de seguridad por una vulnerabilidad crítica de ejecución remota de código en el CMS de Mura Software, identificada como CVE-2026-4765, sin que exista por el momento un parche oficial. La alerta, emitida a las 12:23 horas, advierte de un fallo que permite a un atacante remoto inyectar y ejecutar código arbitrario en el servidor.
La vulnerabilidad, descubierta por el investigador Miguel Segovia Gil, afecta a todas las versiones del gestor de contenidos anteriores a la 10.0.712 y ha sido catalogada por el organismo con el identificador INCIBE-2026-481. El INCIBE ha coordinado la difusión de los detalles técnicos a través de su plataforma de avisos tempranos.
EN 30 SEGUNDOS
- ¿Qué ha ocurrido? El INCIBE ha alertado sobre una vulnerabilidad crítica de ejecución remota de código en Mura CMS sin parche disponible.
- ¿Dónde y cuándo? La alerta se publicó el 13 de julio de 2026 a las 12:23 horas. El fallo reside en el endpoint /index.cfm/_api/json/v1/default del CMS.
- ¿Qué resultado? La vulnerabilidad CVE-2026-4765 permite a un atacante no autenticado inyectar código CFML y ejecutarlo en el servidor, sin que exista solución oficial.
Detalle de la vulnerabilidad CVE-2026-4765
El fallo se localiza en el endpoint /index.cfm/_api/json/v1/default, donde el parámetro ‘method’ de las solicitudes POST no es validado ni sanitizado antes de ser procesado por el motor de ColdFusion. Un atacante remoto puede explotar esta debilidad para inyectar expresiones CFML (ColdFusion Markup Language) arbitrarias e instanciar objetos Java maliciosos, lo que le otorga capacidad de ejecución remota de código.
Aunque la puntuación base CVSS v4.0 es de 5.1 (severidad media según la escala), el INCIBE ha catalogado la vulnerabilidad como crítica debido a su facilidad de explotación remota y al impacto potencial en los sistemas que confían en Mura CMS. El vector de ataque, identificado con CWE-79 (neutralización incorrecta de la entrada durante la generación de páginas web), no requiere autenticación previa.
Hasta el momento de la publicación, Mura Software no ha proporcionado un parche oficial. El INCIBE recomienda aplicar medidas de contención inmediatas, como restringir el acceso al endpoint vulnerable o deshabilitarlo si el funcionamiento del CMS lo permite, mientras se monitorizan los accesos en busca de indicadores de compromiso.
La rápida difusión de la alerta por parte del INCIBE permite a las organizaciones anticiparse a una posible explotación masiva mientras el fabricante trabaja en la solución.
Actuación del INCIBE y coordinación de la respuesta
La vulnerabilidad fue reportada a través de los canales de coordinación del INCIBE-CERT, el equipo de respuesta ante incidentes del Instituto Nacional de Ciberseguridad. Como CNA (CVE Numbering Authority), el INCIBE ha asignado el código CVE-2026-4765 y ha difundido el aviso en su plataforma de alerta temprana, instando a los administradores de sistemas a aplicar las mitigaciones disponibles.
El investigador Miguel Segovia Gil ha sido reconocido como el descubridor del fallo, en el marco de la colaboración habitual entre el centro de seguridad y la comunidad de investigadores independientes que reportan vulnerabilidades de forma responsable.
El Contexto Operativo
La incidencia sobre Mura CMS se suma a una tendencia creciente de vulnerabilidades en sistemas de gestión de contenidos. Según los informes anuales del INCIBE, en 2025 se emitieron más de 250 avisos relacionados con fallos en CMS, lo que representó un incremento del 15 % respecto al ejercicio anterior. Plataformas como WordPress, Joomla o Drupal concentran la mayor parte de los casos, pero la aparición de brechas en productos menos extendidos como Mura CMS demuestra que los atacantes amplían constantemente su superficie de explotación.
La ausencia de un parche en el momento de la divulgación convierte esta vulnerabilidad en un 0day que exige una vigilancia reforzada por parte de los equipos de seguridad. El INCIBE actualizará el aviso INCIBE-2026-481 tan pronto como el fabricante publique la correspondiente actualización, y recomienda a las organizaciones mantenerse suscritas a sus canales de alerta temprana para recibir notificaciones inmediatas.

