CVE-2026-48282
KrytyczneCVSS 10.0Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 59 — wyżej niż 59% wszystkich znanych CVE
Streszczenie
Podatność typu Path Traversal w ColdFusion w wersjach 2025.9, 2023.20 i wcześniejszych umożliwia zdalnemu atakującemu wykonanie dowolnego kodu w kontekście bieżącego użytkownika bez wymaganej interakcji z ofiarą. Problem wynika z nieprawidłowego ograniczenia ścieżki do zastrzeżonego katalogu.
Ocena ryzyka
Atakujący może przejąć kontrolę nad serwerem ColdFusion, wykonując złośliwy kod, co prowadzi do naruszenia poufności, integralności i dostępności danych oraz systemu.
Rekomendacja
Niezwłocznie zaktualizuj ColdFusion do wersji 2025.10 lub nowszej (dla linii 2025) oraz do wersji 2023.21 lub nowszej (dla linii 2023).
Oryginalny opis (angielski, źródło NVD)
ColdFusion versions 2025.9, 2023.20 and earlier are affected by an Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') vulnerability that could lead to arbitrary code execution in the context of the current user. Exploitation of this issue does not require user interaction. Scope is changed.

