Introducción
El martes 8 de julio de 2026, los principales navegadores, plataformas de colaboración y soluciones de infraestructura liberaron actualizaciones de seguridad críticas. Según el Microsoft Patch Tuesday de ese mes, se corrigieron 622 CVEs en total, de los cuales 3 eran de día cero (zero-days) explotados activamente en la野. Entre los parches masivos, emergieron vulnerabilidades específicas en Adobe ColdFusion, Google Chrome, Mozilla Firefox, VMware Avi Load Balancer y Zoom Workplace para Windows, con potencial para ejecución remota de código, bypass de autenticación y compromiso total de sistemas.
Para equipos de DevOps e infraestructura, estos parches no son «mejoras opcionales»: son requerimientos operativos. Las vulnerabilidades como CVE-2026-47865 (bypass de autenticación en VMware) o CVE-2026-53412 (validación de entrada incorrecta en Zoom) permiten a atacantes acceder a planos de control, robar datos o escalar privilegios en minutos. Este artículo detalla qué actualizar, cómo hacerlo en entornos productivos y qué vectores de ataque mitigar antes de que los exploits se masifiquen.
Qué ocurrió
Adobe: parches críticos en ColdFusion, Commerce y Experience Manager
Adobe publicó 11 boletines de seguridad el 8 de julio, cubriendo ColdFusion 2021, 2023 y 2025, Commerce (antes Magento) y Experience Manager. El boletín APSB26-41 para ColdFusion incluye 3 vulnerabilidades críticas (CVSS v3.1: 9.8) que permiten ejecución remota de código (RCE) en servidores expuestos. Los vectores incluyen:
- CVE-2026-4123: Inyección de comandos en el motor de plantillas de ColdFusion.
- CVE-2026-4124: Deserialización insegura en el servicio de administración remota.
- CVE-2026-4125: Corrupción de memoria en el manejador de archivos
.cfm.
Los parches están disponibles en los boletines oficiales de Adobe. Para entornos empresariales, Adobe recomienda:
- Detener el servicio de ColdFusion.
- Aplicar el parche correspondiente a la versión (ej:
ColdFusion2023Update12.jarpara CF 2023). - Reiniciar el servicio y validar con
cfstat -v.
Google Chrome: dos use-after-free críticos en Ozone
Chrome 150.0.7871.124/.125 (lanzado el 3 y 4 de julio) corrigió 15 vulnerabilidades, incluyendo 2 de severidad crítica vinculadas a Ozone (el subsistema de composición de gráficos en Linux/ChromeOS):
- CVE-2026-47867: Use-after-free en el renderizado de fuentes.
- CVE-2026-47868: Use-after-free en el manejo de capas de GPU.
Google confirmó que existe código de explotación público para estos bugs. La actualización es automática en Chrome, pero los equipos de infraestructura deben verificar que todos los dispositivos estén en:
google-chrome --version
# Salida esperada: Google Chrome 150.0.7871.124 (Build oficial)Para implementaciones centralizadas (ej: en AWS mediante Chrome Enterprise), usar el canal stable y forzar actualizaciones con:
apt-get upgrade google-chrome-stable -yMozilla Firefox: dos fallas críticas con exploits públicos
Firefox 152.0.6 liberó parches para dos vulnerabilidades críticas:
- CVE-2026-47869: Corrupción de memoria en JavaScript/WebAssembly (CVSS: 9.6).
- CVE-2026-47870: Prototype Pollution en el aislamiento de sitios (DOM navigation).
Mozilla advirtió que existen PoCs (Proof of Concepts) disponibles públicamente para ambos bugs. La actualización es transparente para usuarios finales (basta reiniciar el navegador), pero en entornos empresariales con Firefox ESR, se debe actualizar mediante:
apt-get update && apt-get install firefox-esr=152.0.6-1~deb12u1Para entornos con FluxCD o Kubernetes, validar que los pods usen imágenes actualizadas:
image: "mozilla/firefox:152.0.6"VMware Avi Load Balancer: bypass de autenticación en el plano de control
Broadcom publicó el boletín VMSA-2026-0012 para VMware Avi Load Balancer (antes Avi Networks), corrigiendo CVE-2026-47865 (CVSS: 9.8), una vulnerabilidad de autenticación incorrecta que permite a atacantes remotos acceder al Avi Control Plane sin credenciales. El vector de ataque requiere acceso a la red interna, pero en entornos con balanceadores expuestos en el edge (ej: en AWS mediante AWS Load Balancer o ALB), el riesgo es crítico.
VMware recomienda:
- Actualizar a Avi Load Balancer 22.1.6 o superior.
- Verificar que el servicio de control plane esté en un VLAN aislada (no expuesta a internet).
- Validar con:
show system configuration | grep "control-plane"Zoom Workplace para Windows: validación de entrada incorrecta
Zoom publicó el Security Bulletin ZSB-26014 para corregir CVE-2026-53412 (CVSS: 9.3), una falla de validación de entrada insuficiente en el cliente de Windows que permite inyección de comandos. El exploit requiere que la víctima abra un archivo malicioso (ej: .zoommtg o .zoom), pero en entornos con despliegues centralizados (ej: mediante MSI o Intune), el riesgo de distribución masiva es alto.
Zoom recomienda:
- Actualizar a Zoom Workplace 5.16.10 o superior.
- Para despliegues empresariales, forzar actualizaciones mediante GPO o scripts:
# Ejemplo para actualización silenciosa en Windows
msiexec /i "ZoomWorkplaceSetup.msi" /qn /norestart /l*v zoom_install.logImpacto para DevOps / Infraestructura / Cloud / Seguridad
Riesgo operacional: exposición de planos de control y RCE
Las vulnerabilidades en VMware Avi (CVE-2026-47865) y Adobe ColdFusion (CVE-2026-4123) son prioridad crítica para equipos de infraestructura. Un atacante con acceso a la red interna puede:
- Tomar control del Avi Control Plane (VMware), exponiendo APIs internas y configuraciones de balanceadores.
- Ejecutar código arbitrario en servidores ColdFusion (Adobe), comprometiendo bases de datos y aplicaciones internas.
En entornos cloud (AWS, GCP, Azure), estos riesgos se amplifican si:
- Los balanceadores de VMware estan expuestos en subredes públicas.
- Los servidores ColdFusion están en instancias EC2 con roles IAM sobreprivilegiados.
- No se aplican security groups o NACLs que limiten el tráfico entre instancias.
Riesgo de explotación masiva: Chrome y Firefox
Los use-after-free en Chrome (CVE-2026-47867/47868) y las fallas en Firefox (CVE-2026-47869/47870) son altamente explotables debido a la disponibilidad de PoCs. Según datos de Malwarebytes, el 92% de los exploits en navegadores en 2026 usan vulnerabilidades ya parcheadas, pero con ventanas de exposición de más de 7 días en promedio. Para DevOps:
- Automatizar actualizaciones en flotas de navegadores (ej: mediante Docker con imágenes actualizadas o Ansible).
- Monitorear tráfico sospechoso en puertos 80/443 con herramientas como Suricata o Zeek, buscando patrones de heap spraying o JIT spraying.
Riesgo en colaboración: Zoom y Adobe Experience Manager
Zoom (CVE-2026-53412) y Adobe Experience Manager (CVE-2026-4126, CVSS: 8.8) permiten ataques dirigidos mediante archivos maliciosos. En entornos con VDI (Virtual Desktop Infrastructure) o Citrix, el riesgo de lateral movement es alto. Equipos de seguridad deben:
- Bloquear extensiones de Zoom no autorizadas (ej: mediante AppLocker en Windows).
- Restringir permisos en Adobe Experience Manager a solo usuarios administrativos.
- Validar logs de acceso a
/contenten Experience Manager, buscando rutas anómalas como/etc/passwd.
Detalles técnicos
Adobe ColdFusion: deserialización insegura y RCE
| CVE | Componente | Vector | CVSS v3.1 | Versión afectada |
|---|---|---|---|---|
| CVE-2026-4123 | Motor de plantillas | Inyección de comandos | 9.8 | CF 2021, 2023, 2025 |
| CVE-2026-4124 | Servicio de admin remota | Deserialización insegura | 9.8 | CF 2021, 2023, 2025 |
| CVE-2026-4125 | Manejador de archivos BLOCK28 | Corrupción de memoria | 8.6 | CF 2023, 2025 |
curl -s "https://<coldfusion-server>/CFIDE/adminapi/_version.cfm" | grep "version"
# Salida esperada: "ColdFusion 2023.0.12.331478"Google Chrome: use-after-free en Ozone
| CVE | Componente | Detalle técnico | Plataforma afectada |
|---|---|---|---|
| CVE-2026-47867 |
