Adobe ColdFusion RCE Path Traversal CVE-2026-48282 CISA KEV 5 min lectura

Adobe ColdFusion RDS: path traversal lleva a RCE sin autenticación (CVE-2026-48282)

El 7 de julio de 2026 CISA agregó al catálogo KEV la CVE-2026-48282, un path traversal (CWE-22) en el servicio RDS de ColdFusion 2025 y 2023 que ya está siendo explotado en campo apenas horas después de la publicación del PoC. CVSS 10.0, sin necesidad de credenciales, sin interacción del usuario: si tenés un ColdFusion on-prem expuesto, este es el aviso que tenés que atender hoy.

IP
IPSecureNetwork
July 8, 2026

Contexto del incidente

El 30 de junio de 2026 Adobe publicó el boletín APSB26-68 con parches para ColdFusion 2025 Update 10 y ColdFusion 2023 Update 21. La estrella del aviso es la CVE-2026-48282: un path traversal (CWE-22) en el módulo Remote Development Service (RDS) FILEIO que permite a un atacante remoto, sin autenticarse, escapar del directorio restringido del componente y escribir archivos arbitrarios en el sistema. Adobe le asignó CVSS 10.0 con vector CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H —todos los indicadores al máximo— y reservó la calificación Priority 1, que la compañía reserva para fallos activamente atacados o con altísimo riesgo de serlo. La NVD todavía no emitió un score propio y muestra "NVD assessment not yet provided" al momento de escribir este post, así que citamos el vector oficial de Adobe.

El alcance (Scope = Changed) es la parte que vuelve a esta CVE-2026-48282 realmente seria: una explotación exitosa no se queda dentro del componente RDS, sino que impacta recursos fuera de su contexto de seguridad, incluyendo el sistema de archivos completo del host y, a través de él, los archivos de configuración, las credenciales de datasources y los CFML templates que el servidor de ColdFusion compila. La progresión típica que documentó la red de honeypots de KEVIntel, que capturó la primera explotación en campo el 6 de julio, fue: (1) request HTTP con secuencias ../../ al endpoint de RDS, (2) lectura del archivo C:\Windows\win.ini como canary que confirma que la traversal funciona, y (3) —en cuestión de minutos— drop de un shell JSP o CFML en un directorio accesible por el connector de ColdFusion para obtener RCE persistente.

La velocidad del salto entre PoC público y explotación masiva es la otra cifra que cuenta. El 6 de julio se publicó el primer exploit funcional en GitHub (catalogado por Vulners como githubexploit/2688E281-0EDF-5062-9EE3-37F69ACB1DA3); en menos de dos horas, la red de KEVIntel observó el primer barrido automatizado buscando RDS expuesto en Internet. La técnica es de manual —la CVE-2026-48282 es un traversal clásico—, pero la superficie es golosa: ColdFusion está ampliamente desplegado en organismos de gobierno, salud, entidades financieras y plataformas legacy de e-commerce, casi siempre detrás de IIS o Apache como connector, con archivos de configuración que contienen credenciales de base de datos, endpoints de servicios internos y tokens SAML en texto plano. Cuando el atacante llega al disco, la playbook es directa: robar neo-datasource.xml, mover el foothold a la base de datos, pivotar al Active Directory vía Kerberoasting, y plantar persistencia en tareas programadas del propio ColdFusion. No es un RCE de juguete.

El boletín APSB26-68 trae además once CVEs adicionales con severidad crítica —CVE-2026-48276, 48277, 48281, 48283 y 48316 como RCE arbitrario, 48285 como SSRF, 48313 y 48314 como path traversal adicional, 48315 como privilege escalation y 48307 como XSS reflejado. Parchear la CVE-2026-48282 por sí sola no cubre todo el boletín: los administradores que sólo cierran esta y dejan las otras abiertas terminan con una matriz de riesgo equivalente en su superficie ColdFusion. La recomendación oficial es instalar el bundle completo (U10 para 2025 o U21 para 2023) en la misma ventana de mantenimiento.

Un PoC público para un path traversal de CVSS 10.0 en ColdFusion tiene fecha de caducidad de dos horas: el reloj empieza cuando se publica y termina cuando los honeypots ven el primer barrido automatizado.

¿Cómo proteger tu infraestructura?

1. Aplicá ColdFusion 2025 Update 10 o ColdFusion 2023 Update 21 ya

Adobe liberó los parches el 30 de junio de 2026 y el 1 de julio publicó las builds estables. La mecánica es la habitual: descargá el updater desde el panel de administrador de ColdFusion (http://<host>:8500/CFIDE/administrator/index.cfm) o aplicá el JAR desde la línea de comandos java -jar cf2025updater-10.jar -i SILENT. Tras la instalación, verificá la build con cfadmin> server info o inspeccionando el server-info vía HTTP. La build esperada para ColdFusion 2025 Update 10 debe ser 2025,0,10,330xxx o superior; para ColdFusion 2023 Update 21 debe ser 2023,0,21,330xxx o superior. Si tu build quedó en Update 9 o Update 20, estás dentro de la lista de versiones afectadas por la CVE-2026-48282; el update en sí mismo no requiere reinicio completo del JVM pero sí recicla el servicio de ColdFusion, lo que en producción conviene coordinar con una ventana de mantenimiento para no cortar sesiones activas de CFML.

2. Deshabilitá RDS si no lo usás y bloqueá el acceso por red

El componente vulnerable de la CVE-2026-48282 es específicamente el Remote Development Service. En la mayoría de los despliegues de producción, RDS se habilitó por compatibilidad con ColdFusion Builder o RDS-aware IDEs y nunca se desactivó. Verificá el estado ejecutando cfadmin> rds enable y, si está activo, dejalo deshabilitado en producción con cfadmin> rds disable y reiniciá el servicio. Adicionalmente, limitá la exposición del puerto HTTP/HTTPS de ColdFusion (8500/8501 por defecto) y del puerto de RDS (default 2939) en el firewall perimetral: lo correcto es que ColdFusion esté detrás de IIS/Apache/nginx, accesible sólo por el connector AJP/HTTP en 127.0.0.1 o en la red interna, y nunca expuesto directamente a Internet. Si necesitás administrar ColdFusion desde fuera, hacelo vía VPN o bastion, no abriendo el 8500 a 0.0.0.0/0.

3. Reforzá el WAF y el connector con reglas anti-traversal

La CVE-2026-48282 se explota con secuencias ../, ..%2f y ..\\ en el path del request. Un WAF de aplicación configurado con OWASP CRS 3.3.x o posterior bloquea estos patrones por defecto en la categoría Path Traversal (reglas 930110–930130). Si tu WAF no está en modo block, pasalo a block y dejá un log de las detecciones en tu SIEM. Adicionalmente, configurá el connector frente a ColdFusion (IIS ISAPI, mod_jk en Apache, o el módulo de nginx-plus) para rechazar cualquier URL que contenga secuencias de traversal antes de reenviar el request al backend. Una regla útil para el RequestFiltering de IIS es bloquear ..\ y ../ con <filtering><requestPaths><add sequence="..." />; para Apache, mod_security con CRS ya cubre el caso. Esto no reemplaza el parche, pero agrega una capa de defensa en profundidad para la ventana entre divulgación y actualización.

4. Buscá señales de explotación previa en logs ColdFusion y access logs del connector

Si tu ColdFusion estuvo expuesto entre el 1 y el 8 de julio de 2026 sin el parche, hay una probabilidad real de que ya haya recibido intentos. Revisá los logs de ColdFusion en {cf.root}/cfusion/logs/ y los access logs del connector (IIS, Apache o nginx) por los siguientes patrones: requests a /CFIDE/, /rds/, /rds-sso/ o /_rds/ con cuerpos POST o query strings conteniendo ../ o referencias a win.ini, boot.ini, etc/passwd o proc/self/environ. Buscá específicamente el canary win.ini que documentó KEVIntel: un acceso exitoso a ese archivo desde una IP externa es una confirmación fuerte de que el traversal fue explotado. En paralelo, comparalas contra la telemetría del WAF —si tenés Cloudflare, F5 ASM, Imperva o AWS WAF delante, la regla 930110 te da la lista de atacantes— y cruzala con el listado de Shadowserver y la red de KEVIntel para ver si tu IP fue escaneada.

Indicadores de compromiso (IoC)

Los siguientes indicadores son específicos de la CVE-2026-48282 en ColdFusion y no aplican a otras plataformas. Todos están calibrados contra el boletín APSB26-68 y la telemetría publicada por KEVIntel y Resecurity el 6 y 7 de julio de 2026. Aplicalos sobre tu SIEM, EDR, WAF o IDS; cada IoC está pensado para ser detectables con la telemetría que la mayoría de las organizaciones ya tiene.

  • Acceso a win.ini desde IP externa: cualquier request HTTP al connector de ColdFusion con query string o path conteniendo win.ini o C:Windows desde una IP que no es la red interna. Es el canary exacto que KEVIntel observó en la primera explotación; un match positivo es prácticamente confirmatorio de la CVE-2026-48282.
  • Hits a endpoints RDS desde Internet: requests GET/POST a /CFIDE/rds/, /rds-sso/, /_rds/ o /rest/ con el header User-Agent ausente, vacío o con valores típicos de herramientas de exploitation (python-requests, curl/7. + UA vacío, Go-http-client). RDS no debe recibir tráfico de Internet bajo ninguna circunstancia.
  • Secuencias ../ en URLs a ColdFusion: requests al connector con paths que contienen ../, ..%2f, ..\ o ..%5c en cualquier parámetro. Reglas 930110–930130 de OWASP CRS cubren este patrón; alertá cuando se dispare en el WAF o en el SIEM.
  • Archivos nuevos en cf.root/wwwroot/ con timestamp post–30/06: cualquier .cfm, .jsp o .cfc creado en el árbol webroot de ColdFusion ({cf.root}/cfusion/wwwroot/, {cf.root}/wwwroot/) con fecha de modificación posterior al 30 de junio de 2026 y autor distinto al del equipo de desarrollo es un candidato fuerte a webshell plantado por la CVE-2026-48282. Verificá con find {cf.root} -type f \( -name "*.cfm" -o -name "*.jsp" -o -name "*.cfc" \) -newermt "2026-06-30" -ls.
  • Procesos hijos de coldfusion.exe / jrun.exe: el proceso del daemon de ColdFusion lanzando cmd.exe, powershell.exe, wmic.exe, net.exe o whoami.exe es la señal de RCE en ejecución post–path traversal. EDR con telemetry de creación de procesos detecta este patrón con una simple regla de relación parent-child.
# Splunk SPL: detectar intentos de path traversal contra RDS ColdFusion
index=cf_access_*
  (uri="*/CFIDE/rds/*" OR uri="*/rds-sso/*" OR uri="*/_rds/*" OR uri="*/rest/*")
  AND (
    uri_query="*../*" OR uri_query="*..%2f*" OR uri_query="*..%5c*"
    OR uri_query="*win.ini*" OR uri_query="*C:Windows*"
    OR uri_query="*etc/passwd*" OR uri_query="*boot.ini*"
  )
| stats count BY src_ip, uri, uri_query, http_user_agent
| sort -count

# Regla complementaria: webshells nuevos en wwwroot de ColdFusion
index=edr endpoint=cfusion_server
  (event_type=file_create OR event_type=file_modify)
  file_path="*cfusion/wwwroot/*.cfm" OR file_path="*cfusion/wwwroot/*.jsp" OR file_path="*cfusion/wwwroot/*.cfc"
  file_create_time > "2026-06-30T00:00:00Z"
  file_signature_status="unsigned" OR file_owner NOT IN ("svc_cf_admin", "cfusion")
| stats latest(file_create_time) AS created BY endpoint, file_path, file_owner
| sort -created

# Regla EDR: proceso hijo sospechoso de ColdFusion JVM
index=edr endpoint=cfusion_server
  (parent_process_name="coldfusion.exe" OR parent_process_name="jrun.exe" OR parent_process_name="java.exe")
  AND child_process_name IN ("cmd.exe", "powershell.exe", "wmic.exe", "net.exe", "whoami.exe", "rundll32.exe")
| stats count BY endpoint, parent_process_name, child_process_name, child_cmdline

🛡️ ¿Tu ColdFusion quedó expuesto entre el 30 de junio y el 8 de julio?

En IPSecureNetwork hacemos auditorías forenses sobre despliegues Adobe ColdFusion on-prem: confirmamos build actual contra el boletín APSB26-68, revisamos la superficie del componente RDS, validamos reglas del WAF/connector contra la familia CWE-22, y cruzamos los logs de acceso y EDR con la telemetría pública de KEVIntel, Resecurity y Vulners para descartar explotación previa. Si tu instancia de ColdFusion estuvo accesible desde Internet en la ventana de divulgación de la CVE-2026-48282, este es el momento de auditar antes de que el próximo boletín te encuentre con un webshell plantado.

SOLICITAR AUDITORÍA →