Katalog CVE

CVE-2026-48277

KrytyczneCVSS 10.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.86%

Percentyl 54 — wyżej niż 54% wszystkich znanych CVE

Streszczenie

Podatność w ColdFusion w wersjach 2025.9, 2023.20 i wcześniejszych wynika z nieprawidłowej walidacji danych wejściowych, co może prowadzić do zdalnego wykonania dowolnego kodu w kontekście bieżącego użytkownika. Atak nie wymaga interakcji z użytkownikiem, a zakres podatności uległ zmianie.

Ocena ryzyka

Organizacja narażona jest na przejęcie kontroli nad systemem przez atakującego, który może wykonać dowolny kod, co grozi kradzieżą danych, instalacją złośliwego oprogramowania lub całkowitym naruszeniem integralności systemu.

Rekomendacja

Należy niezwłocznie zaktualizować ColdFusion do wersji 2025.10 lub 2023.21, które zawierają poprawkę eliminującą tę podatność. W międzyczasie zaleca się ograniczenie dostępu do serwera tylko dla zaufanych sieci.

Oryginalny opis (angielski, źródło NVD)

ColdFusion versions 2025.9, 2023.20 and earlier are affected by an Improper Input Validation vulnerability that could result in arbitrary code execution in the context of the current user. Exploitation of this issue does not require user interaction. Scope is changed.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS