Ejecución remota de código en el CMS de Mura Software
- Mura CMS: versiones anteriores a 10.0.712.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta al CMS de Mura Software, un sistema de gestión de contenidos diseñado para crear, administrar y publicar contenido digital. La vulnerabilidad ha sido descubierta por Miguel Segovia Gil.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2026-12257: CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-94
No hay solución reportada por el momento.
CVE-2026-12257: las versiones de Mura CMS anteriores a la 10.0.712 presentan una vulnerabilidad crítica de ejecución remota de código (RCE). El fallo se localiza en el endpoint '/index.cfm/_api/json/v1/default', donde el parámetro 'method' de las solicitudes POST no es validado ni sanitizado correctamente antes de ser procesado por el motor de ColdFusion. Como resultado, un atacante remoto podría explotar esta debilidad para inyectar y ejecutar expresiones CFML (ColdFusion Markup Language) arbitrarias e instanciar objetos Java maliciosos, comprometiendo así la seguridad del sistema.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-12257 | Crítica | No | Mura Software |



