La compañía ha lanzado actualizaciones de seguridad urgentes para abordar una falla de “Entidad Externa XML” (XXE) en la librería de terceros que utiliza ColdFusion para procesar documentos, exponiendo a los servidores al robo de datos.
En este “Patch Tuesday” de enero, Adobe ha puesto el foco en la seguridad de la cadena de suministro. La compañía ha emitido un boletín de seguridad crítico para ColdFusion, su plataforma de desarrollo de aplicaciones web, abordando una vulnerabilidad grave que no reside en su propio código, sino en un componente que integra: Apache Tika.
El fallo, que ha mantenido en alerta a la comunidad de seguridad desde finales de 2025, finalmente ha sido mitigado en las versiones compatibles de ColdFusion 2023 y 2021.
El Problema: Apache Tika y la Inyección XXE
ColdFusion utiliza Apache Tika, un kit de herramientas de código abierto, para analizar y extraer texto y metadatos de varios formatos de archivo (como PDFs, documentos de Office, etc.).
- La Vulnerabilidad (CVE-2025-66516): Se trata de un fallo de Inyección de Entidades Externas XML (XXE) con una puntuación de severidad crítica.
- El Mecanismo: Un atacante puede aprovechar esta falla subiendo o haciendo que el servidor procese un archivo malicioso (frecuentemente un PDF con datos XFA manipulados). Debido a que el analizador XML de Tika no estaba configurado correctamente para ignorar referencias externas, el archivo puede “engañar” al servidor para que entregue el contenido de archivos locales confidenciales.
- El Riesgo: Si tu aplicación ColdFusion permite a los usuarios subir archivos, un atacante podría leer archivos del sistema (/etc/passwd, archivos de configuración) o realizar ataques de falsificación de solicitud del lado del servidor (SSRF) para atacar la red interna.
Actualización de Enero 2026
Adobe ha lanzado las nuevas versiones que actualizan la librería tika-core y sus dependencias a una versión segura (3.2.2 o superior) que mitiga este vector de ataque.
Versiones Afectadas y Parcheadas:
- ColdFusion 2023: Debe actualizarse inmediatamente al Update 13 (o superior).
- ColdFusion 2021: Debe actualizarse inmediatamente al Update 23 (o superior).
¿Por qué es importante?
Este tipo de vulnerabilidad destaca el riesgo de los “componentes de terceros”. Muchos administradores de ColdFusion pueden no saber que están ejecutando Apache Tika bajo el capó. Sin embargo, los atacantes automatizados escanean específicamente buscando estas librerías auxiliares vulnerables para comprometer servidores que de otro modo estarían seguros.
Recomendación
Se recomienda a los administradores de sistemas aplicar el parche de forma prioritaria, especialmente si sus aplicaciones ColdFusion están expuestas a internet y permiten la carga de documentos por parte de usuarios. Además, como buena práctica de “Hardening”, se debe verificar que el usuario que ejecuta el servicio ColdFusion tenga los privilegios mínimos necesarios en el sistema operativo para limitar el impacto en caso de una lectura de archivos arbitraria.
