CVE-2026-48277
KrytyczneCVSS 10.0Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 54 — wyżej niż 54% wszystkich znanych CVE
Streszczenie
Podatność w ColdFusion w wersjach 2025.9, 2023.20 i wcześniejszych wynika z nieprawidłowej walidacji danych wejściowych, co może prowadzić do zdalnego wykonania dowolnego kodu w kontekście bieżącego użytkownika. Atak nie wymaga interakcji z użytkownikiem, a zakres podatności uległ zmianie.
Ocena ryzyka
Organizacja narażona jest na przejęcie kontroli nad systemem przez atakującego, który może wykonać dowolny kod, co grozi kradzieżą danych, instalacją złośliwego oprogramowania lub całkowitym naruszeniem integralności systemu.
Rekomendacja
Należy niezwłocznie zaktualizować ColdFusion do wersji 2025.10 lub 2023.21, które zawierają poprawkę eliminującą tę podatność. W międzyczasie zaleca się ograniczenie dostępu do serwera tylko dla zaufanych sieci.
Oryginalny opis (angielski, źródło NVD)
ColdFusion versions 2025.9, 2023.20 and earlier are affected by an Improper Input Validation vulnerability that could result in arbitrary code execution in the context of the current user. Exploitation of this issue does not require user interaction. Scope is changed.

