Katalog CVE

CVE-2026-48315

KrytyczneCVSS 9.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.55%

Percentyl 42 — wyżej niż 42% wszystkich znanych CVE

Streszczenie

Podatność w ColdFusion w wersjach 2025.9, 2023.20 i wcześniejszych wynika z nieprawidłowej walidacji danych wejściowych, co może prowadzić do wykonania dowolnego kodu w kontekście bieżącego użytkownika. Atakujący może wstrzyknąć złośliwe skrypty na stronę internetową, potencjalnie uzyskując podwyższone uprawnienia lub kontrolę nad kontem lub sesją ofiary. Wykorzystanie podatności wymaga interakcji użytkownika, który musi otworzyć złośliwy plik, a zakres ataku jest zmieniony.

Ocena ryzyka

Ryzyko dla organizacji obejmuje możliwość przejęcia kont użytkowników, eskalacji uprawnień oraz wykonania nieautoryzowanego kodu, co może prowadzić do naruszenia poufności i integralności danych.

Rekomendacja

Zaleca się natychmiastową aktualizację ColdFusion do wersji nowszej niż 2025.9 lub 2023.20, zgodnie z zaleceniami producenta, oraz wdrożenie mechanizmów filtrowania danych wejściowych i ograniczenia interakcji użytkowników z nieznanymi plikami.

Oryginalny opis (angielski, źródło NVD)

ColdFusion versions 2025.9, 2023.20 and earlier are affected by an Improper Input Validation vulnerability that could result in arbitrary code execution in the context of the current user. An attacker could exploit this vulnerability to inject malicious scripts into a web page, potentially gaining elevated access or control over the victim's account or session. Exploitation of this issue requires user interaction in that a victim must open a malicious file. Scope is changed.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS