CISA emite orden urgente: Agencias gubernamentales de EE. UU. deben cerrar vulnerabilidad de Adobe ColdFusion tras ataques confirmados
La agencia de ciberseguridad de EE. UU. ordena a las agencias federales actualizar urgentemente Adobe ColdFusion tras el descubrimiento de una vulnerabilidad crítica que está siendo activamente explotada por hackers.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha emitido una directiva urgente para que las agencias federales del país actualicen los parches de seguridad para Adobe ColdFusion, una plataforma de desarrollo de aplicaciones web. Esta orden surge tras el descubrimiento de la vulnerabilidad de seguridad crítica CVE-2026-48282, un fallo de tipo Path Traversal (una técnica para acceder a archivos fuera del alcance definido) que afecta a las versiones 2025.9, 2023.20 y anteriores de ColdFusion. Esta vulnerabilidad permite a actores maliciosos ejecutar código arbitrario en el sistema de forma remota sin requerir privilegios de acceso complejos. Lo preocupante es que CISA ha confirmado que se han producido ataques reales contra esta vulnerabilidad, por lo que la añadió al catálogo de Vulnerabilidades Explotadas Conocidas (KEV) el 7 de julio de 2026. Adobe había lanzado un parche correctivo una semana antes, recomendando a los usuarios instalarlo a la mayor brevedad. Mientras tanto, investigadores de KEVIntel informaron haber detectado intentos de explotación en menos de dos horas tras la divulgación pública de los detalles de la vulnerabilidad.
Aunque esta directiva se aplica a las agencias gubernamentales de EE. UU., las empresas y organizaciones en Tailandia que utilizan Adobe ColdFusion también enfrentan un alto riesgo y deberían actualizar sus parches de seguridad con urgencia para prevenir ataques.