Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en ColdFusion (CVE-2025-49535)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-611 Restricción incorrecta de referencia a entidad externa XML (XXE)
Fecha de publicación:
08/07/2025
Última modificación:
11/07/2025

Descripción

Las versiones 2025.2, 2023.14, 2021.20 y anteriores de ColdFusion se ven afectadas por una vulnerabilidad de restricción incorrecta de referencias de entidades externas XML ('XXE') que podría resultar en la omisión de una función de seguridad. Un atacante podría explotar esta vulnerabilidad para acceder a información confidencial o realizar una denegación de servicio evadiendo las medidas de seguridad. La explotación de este problema no requiere la interacción del usuario y se modifica el alcance. El componente vulnerable está restringido a direcciones IP internas.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:adobe:coldfusion:2021:-:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2021:update1:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2021:update10:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2021:update11:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2021:update12:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2021:update13:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2021:update14:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2021:update15:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2021:update16:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2021:update17:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2021:update18:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2021:update19:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2021:update2:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2021:update20:*:*:*:*:*:*
cpe:2.3:a:adobe:coldfusion:2021:update3:*:*:*:*:*:*


Referencias a soluciones, herramientas e información