Katalog CVE

CVE-2026-48307

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.31%

Percentyl 23 — wyżej niż 23% wszystkich znanych CVE

Streszczenie

Podatność odbita XSS w ColdFusion w wersjach 2025.9, 2023.20 i wcześniejszych. Atakujący może wstrzyknąć złośliwy skrypt do strony, co może prowadzić do wykonania dowolnego kodu w kontekście bieżącego użytkownika. Wymagana jest interakcja ofiary (kliknięcie w link).

Ocena ryzyka

Ryzyko polega na możliwości przejęcia sesji użytkownika, kradzieży danych lub wykonania nieautoryzowanych działań w aplikacji. Atak wymaga jednak kliknięcia w spreparowany link przez ofiarę.

Rekomendacja

Zaleca się natychmiastową aktualizację ColdFusion do wersji 2025.10 lub 2023.21 (lub nowszej). Należy również rozważyć stosowanie filtrów wejściowych i mechanizmów Content Security Policy (CSP).

Oryginalny opis (angielski, źródło NVD)

ColdFusion versions 2025.9, 2023.20 and earlier are affected by a reflected Cross-Site Scripting (XSS) vulnerability. An attacker could exploit this vulnerability to inject malicious scripts into a web page, potentially resulting in arbitrary code execution in the context of the current user. Exploitation of this issue requires user interaction in that a victim must open a malicious link. Scope is changed.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS