Vulnerabilidades en productos Adobe

Se han lanzado actualizaciones de seguridad que corrigen múltiples vulnerabilidades en productos de Adobe. Entre ellas, tres de severidad crítica. Un actor malicioso podría lograr la ejecución de código arbitrario, escalada de privilegios o la omisión de funciones de seguridad en los sistemas afectados.

Productos afectados

  • Adobe Campaign Classic v7, versiones anteriores a la compilación 9397 de la 7.4.3
  • Adobe ColdFusion 2025, versiones anteriores a la Actualización 10
  • Adobe ColdFusion 2023, versiones anteriores a la Actualización 21

Impacto

Las vulnerabilidades se han identificado como:

CVE-2026-48282: con una puntuación de 10.0 en CVSS v3.1. Existe una vulnerabilidad de control inapropiado de las secuencias de escape en las rutas de acceso o recorrido de directorios en la plataforma de desarrollo de aplicaciones web Adobe ColdFusion. Esta radica en una depuración deficiente de los parámetros de entrada que definen rutas de archivos en las solicitudes entrantes. Un actor malicioso remoto podría aprovecharse de esta deficiencia enviando secuencias de caracteres diseñadas para evadir la carpeta raíz web restringida.

CVE-2026-48276: con una puntuación de 10.0 en CVSS v3.1. Existe una vulnerabilidad de carga sin restricciones de archivos en la plataforma de desarrollo y ejecución de aplicaciones Adobe ColdFusion. Esta radica en la ausencia o ineficacia de filtros de validación en las funciones de carga de archivos expuestas. Un actor malicioso remoto no autenticado podría aprovechar esta deficiencia subiendo directamente scripts maliciosos o web shells ejecutables al servidor de aplicaciones.

CVE-2026-48277: con una puntuación de 10.0 en CVSS v3.1. Existe una vulnerabilidad de validación de entrada incorrecta en la plataforma de aplicaciones Adobe ColdFusion. Esta se debe a que el sistema procesa datos suministrados por el usuario a través de parámetros de entrada sin realizar una debida verificación, depuración o filtrado lógico de los mismos. Un actor malicioso remoto podría aprovechar esta deficiencia enviando solicitudes maliciosas que incluyan comandos o payloads estructurados; al no ser validados correctamente, el intérprete los procesa de forma directa.

Recomendación

Actualizar a la última versión disponible a través del sitio web oficial del fabricante.

Referencias

https://www.cve.org/CVERecord?id=CVE-2026-48282
https://www.cve.org/CVERecord?id=CVE-2026-48276
https://www.cve.org/CVERecord?id=CVE-2026-48277
https://helpx.adobe.com/security.html