CVE-2026-48314
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 25 — wyżej niż 25% wszystkich znanych CVE
Streszczenie
Podatność typu Path Traversal w ColdFusion w wersjach 2025.9, 2023.20 i wcześniejszych umożliwia ominięcie zabezpieczeń ścieżek. Atakujący może uzyskać ograniczony dostęp do odczytu i zapisu do nieautoryzowanych plików lub katalogów poza zamierzonymi ograniczeniami. Eksploatacja nie wymaga interakcji użytkownika.
Ocena ryzyka
Organizacja narażona jest na nieautoryzowany dostęp do wrażliwych plików konfiguracyjnych lub danych, co może prowadzić do wycieku informacji lub modyfikacji krytycznych zasobów.
Rekomendacja
Niezwłocznie zaktualizuj ColdFusion do wersji 2025.10 lub 2023.21 (lub nowszej) zgodnie z zaleceniami producenta. Ogranicz dostęp do serwera ColdFusion tylko dla zaufanych sieci.
Oryginalny opis (angielski, źródło NVD)
ColdFusion versions 2025.9, 2023.20 and earlier are affected by an Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') vulnerability that could result in a Security feature bypass. An attacker could leverage this vulnerability to gain limited read and write access to unauthorized files or directories outside the intended restrictions. Exploitation of this issue does not require user interaction.

