Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Ejecución remota de código en el CMS de Mura Software

Fecha de publicación 13/07/2026
Identificador
INCIBE-2026-481
Importancia
5 - Crítica
Recursos Afectados
  • Mura CMS: versiones anteriores a 10.0.712.
Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta al CMS de Mura Software, un sistema de gestión de contenidos diseñado para crear, administrar y publicar contenido digital. La vulnerabilidad ha sido descubierta por Miguel Segovia Gil.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2026-12257: CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-94
Solución

No hay solución reportada por el momento.

Detalle

CVE-2026-12257: las versiones de Mura CMS anteriores a la 10.0.712 presentan una vulnerabilidad crítica de ejecución remota de código (RCE). El fallo se localiza en el endpoint '/index.cfm/_api/json/v1/default', donde el parámetro 'method' de las solicitudes POST no es validado ni sanitizado correctamente antes de ser procesado por el motor de ColdFusion. Como resultado, un atacante remoto podría explotar esta debilidad para inyectar y ejecutar expresiones CFML (ColdFusion Markup Language) arbitrarias e instanciar objetos Java maliciosos, comprometiendo así la seguridad del sistema.

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-12257 Crítica No Mura Software
Listado de referencias
Etiquetas