Adobe corrige 7 vulnerabilidades críticas en ColdFusion y Campaign Classic

Publicado el

Adobe ha publicado parches para siete vulnerabilidades críticas que afectan a Adobe ColdFusion y Adobe Campaign Classic. Estas fallas tienen una puntuación de CVSS 10.0, lo que indica un nivel máximo de severidad.

Vulnerabilidades en ColdFusion

Los parches de ColdFusion abordan problemas que podrían llevar a la ejecución de código arbitrario, escalada de privilegios, lectura no autorizada del sistema de archivos y eludir características de seguridad. Las vulnerabilidades identificadas son las siguientes:

- CVE-2026-48276, CVE-2026-48283: Carga de archivos sin restricciones que podrían permitir la ejecución de código arbitrario. - CVE-2026-48277, CVE-2026-48281, CVE-2026-48316: Validación de entrada incorrecta que podría resultar en ejecución de código arbitrario. - CVE-2026-48282: Vulnerabilidad de traversal de ruta que puede permitir la ejecución de código arbitrario. - CVE-2026-48313: Vulnerabilidad de traversal de ruta que podría resultar en lectura no autorizada del sistema de archivos. - CVE-2026-48315: Problema de validación de entrada que podría permitir la escalada de privilegios.

Los problemas han sido solucionados en ColdFusion 2023 Update 21 y ColdFusion 2025 Update 10. Los investigadores de seguridad Anirudh Anand, Matan Sandori y 2Bsecure han sido reconocidos por descubrir y reportar algunas de estas vulnerabilidades.

Fallo en Adobe Campaign Classic

Además, Adobe ha abordado una vulnerabilidad crítica en Adobe Campaign Classic, que afecta a las versiones ACC v7: 7.4.3 build 9396 y anteriores, tanto para Windows como para Linux. Esta vulnerabilidad, CVE-2026-48286, también con una puntuación de 10.0, se debe a una autorización incorrecta que podría permitir a un atacante ejecutar código arbitrario en los sistemas afectados. Ha sido corregida en la versión ACC v7: 7.4.3 build 9397. Adobe aclara que esta vulnerabilidad solo afecta a las instancias de Adobe Campaign en local, incluidas las implementaciones completamente locales y los componentes en entornos híbridos. Las instancias alojadas por Adobe ya han sido actualizadas y no requieren acción adicional.

Aceleración en la detección de vulnerabilidades

La compañía ha subrayado que no han encontrado ninguna explotación activa de estas vulnerabilidades en el entorno. Este anuncio se produce en un contexto donde Adobe ha decidido pasar de la publicación mensual a una frecuencia de publicaciones quincenales de boletines de seguridad y avisos, programados para el segundo y cuarto martes de cada mes a partir del 14 de julio de 2026. Esta decisión responde a la aceleración en el descubrimiento de vulnerabilidades gracias a modelos de inteligencia artificial (IA).

La Directora de Seguridad de Adobe, Aanchal Gupta, ha señalado que "las capacidades avanzadas de IA que estamos utilizando también están disponibles para los atacantes, y la ventana entre la divulgación pública de vulnerabilidades y su explotación activa se está reduciendo de días a horas". Esto ha llevado a la empresa a aplicar IA para identificar y corregir vulnerabilidades más rápidamente, asegurando que los parches lleguen a los clientes de manera más eficiente.

Fuente

Ver noticia original