Ejecución remota de código en el CMS de Mura Software Lun, 13/07/2026 - 12:23
Aviso
Recursos Afectados
Mura CMS: versiones anteriores a 10.0.712.
Descripción
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta al CMS de Mura Software, un sistema de gestión de contenidos diseñado para crear, administrar y publicar contenido digital. La vulnerabilidad ha sido descubierta por Miguel Segovia Gil.A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:CVE-2026-12257: CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-94
Identificador
INCIBE-2026-481
Solución
No hay solución reportada por el momento.
Detalle
CVE-2026-12257: las versiones de Mura CMS anteriores a la 10.0.712 presentan una vulnerabilidad crítica de ejecución remota de código (RCE). El fallo se localiza en el endpoint '/index.cfm/_api/json/v1/default', donde el parámetro 'method' de las solicitudes POST no es validado ni sanitizado correctamente antes de ser procesado por el motor de ColdFusion. Como resultado, un atacante remoto podría explotar esta debilidad para inyectar y ejecutar expresiones CFML (ColdFusion Markup Language) arbitrarias e instanciar objetos Java maliciosos, comprometiendo así la seguridad del sistema.
5 - Crítica
Listado de referencias
Mura Software
Etiquetas
0day
CMS
CNA
RCE
+
Vulnerabilidad
-
CVE
Identificador CVE
Severidad
Explotación
Fabricante
CVE-2026-12257
Crítica
No
Mura Software