La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) incorporó la vulnerabilidad CVE-2026-48282 de Adobe ColdFusion a su catálogo de Known Exploited Vulnerabilities (KEV) tras confirmar que está siendo explotada activamente. La falla afecta a ColdFusion y forma parte de un conjunto de vulnerabilidades críticas corregidas recientemente por Adobe en su más reciente actualización de seguridad.
De acuerdo con el aviso de seguridad publicado por Adobe, CVE-2026-48282 corresponde a una vulnerabilidad clasificada como crítica, la categoría de mayor severidad utilizada por el fabricante. Según la definición oficial de Adobe, este nivel indica que «estas vulnerabilidades pueden comprometer la confidencialidad, la integridad y la disponibilidad de los datos procesados por el servidor, o la integridad o disponibilidad de los recursos de procesamiento».
La National Vulnerability Database (NVD) identificó la falla CVE-2026-48282 como una vulnerabilidad que puede permitir ejecución arbitraria de código. Adobe publicó las actualizaciones para las versiones afectadas de ColdFusion como parte de un boletín que corrige múltiples fallas calificadas con la máxima severidad, recomendando instalar los parches disponibles.
Tras la confirmación de ataques, CISA añadió la vulnerabilidad al catálogo KEV, mecanismo que reúne fallas para las cuales existe evidencia de explotación en entornos reales. En su alerta, el organismo indicó que » las versiones 2025.9, 2023.20 y anteriores de ColdFusion se ven afectadas por una vulnerabilidad de limitación incorrecta de una ruta de acceso a un directorio restringido (recorrido de ruta) que podría permitir la ejecución de código arbitrario en el contexto del usuario actual” y agregó que “la explotación de esta vulnerabilidad no requiere interacción del usuario».
Como consecuencia de esa incorporación, CISA emitió una directiva para que las agencias federales de ese país para que apliquen las mitigaciones dentro del plazo de 72 horas (antes de este viernes). Diversos reportes especializados indican además que el organismo instó a priorizar la instalación de los parches debido a la explotación activa de la vulnerabilidad.
La publicación de Adobe también corrigió otras vulnerabilidades críticas en ColdFusion, varias de ellas con potencial de ejecución remota de código. Sin embargo, CVE-2026-48282 es la única que, al momento de los avisos difundidos por CISA, había sido incorporada al catálogo KEV debido a evidencia confirmada de explotación.
Por otra parte, los datos públicos del proyecto Shadowserver Foundation muestran que continúan existiendo servidores Adobe ColdFusion expuestos a Internet en distintos países, lo que evidencia que la superficie potencial de sistemas afectados sigue presente mientras las organizaciones completan la instalación de las actualizaciones.


