Adobe ha publicado un boletín de seguridad, abordando una vulnerabilidad crítica en las dependencias del producto que podría permitir ejecución arbitraria de código. Las versiones afectadas de ColdFusion incluyen ColdFusion 2025 (Update 5 y anteriores) y ColdFusion 2023 (Update 17 y anteriores) en todas las plataformas.
Análisis
CVE-2025-66516: Apache Tika XML External Entity (XXE) / Ejecución arbitraria de código
La actualización de ColdFusion incluye un parche para la vulnerabilidad CVE-2025-66516, un fallo crítico en la biblioteca Apache Tika que se usa como dependencia dentro de ColdFusion. Este fallo permite inyección de entidades externas XML (XXE) que podría explotarse al procesar contenido específicamente elaborado, conduciendo a ejecución arbitraria de código con las mismas credenciales o contexto que el proceso de ColdFusion. Dado que este componente se invoca internamente al manejar ciertos formatos de archivo (por ejemplo, XFA dentro de PDF), un atacante capaz de suministrar datos maliciosos podría conseguir ejecución de código no autorizado en el servidor afectado.
Recomendaciones
Actualizar inmediatamente a las versiones corregidas de ColdFusion (2025 Update 6 o 2023 Update 18)
Referencias: