CVE-2026-47929
WysokieCVSS 8.4Prawdopodobieństwo exploitacji (EPSS)
Wysokie ryzykoPercentyl 80 - wyżej niż 80% wszystkich znanych CVE
Streszczenie
Wersje ColdFusion 2023.19, 2025.8 i wcześniejsze są podatne na lukę w autoryzacji, która może prowadzić do wykonania dowolnego kodu w kontekście bieżącego użytkownika. Atakujący z wysokimi uprawnieniami może wykorzystać tę podatność do uzyskania podwyższonych uprawnień lub kontroli nad kontem lub sesją ofiary.
Ocena ryzyka
Wykorzystanie tej luki może prowadzić do przejęcia kontroli nad kontem użytkownika, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji. Atak nie wymaga interakcji ze strony użytkownika, co zwiększa ryzyko.
Rekomendacja
Zaleca się aktualizację ColdFusion do najnowszej wersji, aby usunąć tę podatność. Należy również przeprowadzić audyt bezpieczeństwa kont użytkowników z wysokimi uprawnieniami.
Oryginalny opis (angielski, źródło NVD)
ColdFusion versions 2023.19, 2025.8 and earlier are affected by an Incorrect Authorization vulnerability that could result in arbitrary code execution in the context of the current user. A high-privileged attacker could exploit this vulnerability to gain elevated access or control over the victim's account or session. Exploitation of this issue does not require user interaction. Scope is changed.

